Kimliği doğrulanmamış bir uzak saldırgan, hizmet kullanıcıları için düz metin parolalar elde etmek üzere bir çevrimiçi parola yönetimi çözümü olan Passwordstate’te algılanan çok sayıda yüksek önem dereceli güvenlik açığından yararlanabilir.
Modzero adlı bir İsviçre siber güvenlik şirketi, Ağustos ayında geliştiriciye, Kasım ayı başlarında yaması yapılan 9.6 sürüm 9653 ile ilgili güvenlik sorunları olduğunu bildirdi.
Avustralyalı bir şirket olan Click Studios’a göre bugün itibariyle Passwordstate’in kullanıcı sayısı 370.000’i aşıyor ve dünyanın her yerinden 29.000’in üzerinde BT uzmanı tarafından kullanılıyor.
Kusurun bir sonucu olarak, Chrome için Passwordstate 9.5.8.4 sürümü de sorundan etkileniyor. 7 Eylül 2022’de tarayıcı eklentisinin en son sürümü olan 9.6.1.2 sürümü yayınlandı.
Belirlenen güvenlik açıkları
modzero AG’nin bulgularına göre aşağıdaki güvenlik açıkları tespit edilmiştir:-
- CVE Kimliği: CVE-2022-3875
- Açıklama: Passwordstate’in API’si için bir kimlik doğrulama bypass’ı
- CVSS Puanı: 7.3
- Önem Derecesi: Yüksek
- CVE Kimliği: CVE-2022-3876
- Açıklama: Kullanıcı tarafından kontrol edilen anahtarlar aracılığıyla erişim kontrollerinin atlanması
- CVSS Puanı: 4.3
- Önem Derecesi: Orta
- CVE Kimliği: CVE-2022-3877
- Açıklama: Her parola girişinin URL alanında saklanan siteler arası komut dosyası çalıştırma (XSS) güvenlik açığı
- CVSS Puanı: 3.5
- Önem Derecesi: Düşük
Bu güvenlik açıklarından başarıyla yararlanan kimliği doğrulanmamış saldırganlar, aşağıdaki yasa dışı görevleri gerçekleştirebilir:-
- Çalışan bir örneğin şifrelerini dışarı sızdırarak elde edin
- Şu anda veritabanında saklanan tüm parolaları yeni oluşturulmuş bir parola ile değiştirin
- Rollerini yükselterek uygulama içindeki ayrıcalıklarını artırın
Passwordstate ana bilgisayar sisteminde, ana bilgisayar sisteminde bir kabuk elde etmek ve üzerinde depolanan tüm parolaları boşaltmak için ayrı olarak kullanılabilen bir dizi güvenlik açığı vardır.
Saldırganlar, modzero AG tarafından gösterilen bir saldırı zincirinde gösterildiği gibi, yönetici hesapları için API belirteçleri oluşturabilir. Saldırgan daha sonra XSS kusurundan yararlanarak ve kötü amaçlı bir parola girişi göndererek ters bir kabuk elde edebilir.
Öneri
Potansiyel tehditleri azaltmak için siber güvenlik analistleri, kullanıcıların Passwordstate sürümlerini derhal 9.6 – Build 9653 veya sonraki sürüme güncellemelerini şiddetle tavsiye ediyor.
Bir şirketin güvenlik altyapısı, parolaların güvenliğinin temel taşı olan güçlü bir parola yönetimi çözümü temeli üzerine inşa edildiğinden.
Uygulama, bakım ve mimari aşamalarında güvenlikleri bütünsel bir hedef olarak ele alınmalıdır. Bunun ışığında, Passwordstate’in hem bugün hem de gelecekte siber suçlular için cazip bir hedef olması şaşırtıcı değil.