Parolaları şifresiz metin olarak almak için kusurlar birleştirilebilir
Kurumsal parola yöneticisi Passwordstate’teki, saklanan kimlik bilgilerine sızmak için birleştirilebilen güvenlik açıkları yamalandı.
Avustralyalı tedarikçi firma Click Studios tarafından geliştirilen Passwordstate, rol tabanlı yönetim ve erişim kontrolü, hassas bilgi paylaşımı, AES veri şifreleme ve tarayıcı uzantısı özelliklerini içeren şirket içi bir pakettir. Yazılımın yaklaşık 29.000 kullanıcısı var.
Passwordstate, şifre yöneticisinin güvenliğini kontrol etmek için bir müşteri talebinin ardından İsviçre güvenlik danışmanlığı modzero AG tarafından incelemeye tabi tutuldu.
Modzero araştırmacıları Constantin Muller, Jan Benninger ve Pascal Zenker, Passwordstate üzerinde gerektiği gibi bir denetim gerçekleştirdiler ve ekibin ifşa raporunda (PDF) belgelendiği gibi bir dizi güvenlik sorunu buldular.
ÖNERİLEN Penetrasyon testçisi olmak: John Jackson’ın ‘sonsuz merakı’ sayesinde ‘Bay Hacking’
Bunlar, yüksek önem dereceli bir API kimlik doğrulama bypass’ı (CVSS 7.3) olan CVE-2022-3875’i; CVE-2022-3876 (CVSS 4.3), burada UpdatePassword dosyası manipülasyonu, yetkilendirme atlamasına yol açar; ve kullanıcı arabiriminde bir siteler arası komut dosyası çalıştırma (XSS) kusuru olan CVE-2022-3877 (CVSS 3.5).
Araştırmacılar ayrıca başka bir XSS, API’ler için sabit kodlanmış kimlik bilgilerinin kullanımı, parola listeleri için yetersiz koruma ve tarayıcı uzantısında parolaların potansiyel olarak açığa çıktığını buldu.
Saldırı zinciri
Olası bir saldırı zinciri şuna benzer: geçerli bir kullanıcı adı kullanarak bir API belirteci oluşturun, genel ve özel parola listelerine XSS yükleriyle kötü niyetli parola girişleri ekleyin, bir yönetici farkında olmadan bir parola girişi açana kadar bekleyin, bir ters kabuğu güvenli hale getirin ve ardından çekin ve Passwordstate örneğinde depolanan parolaları dökümü.
Araştırmacılar, “Başarılı bir istismar, kimliği doğrulanmamış bir saldırganın bir örnekten parolaları sızdırmasına, veritabanındaki tüm depolanan parolaların üzerine yazmasına veya uygulama içindeki ayrıcalıklarını yükseltmesine olanak tanır” diyor.
“Bireysel güvenlik açıkları, Passwordstate ana bilgisayar sisteminde bir kabuk elde etmek ve saklanan tüm şifreleri açık metin olarak atmak için zincirlenebilir – geçerli bir kullanıcı adından başka bir şey olmadan başlayarak!”
Modzero’ya göre, Click Studios, ifşa süreci boyunca “duyarlı” davrandı ve araştırmacıların bulgularını hızla önceliklendirip yamaladı ve bunun sonucunda Passwordstate sürüm 9.6 (9653) ortaya çıktı.
modzero, “Parola güvenliği ve dolayısıyla parola yönetimi çözümleri, bir kuruluşun güvenlik altyapısının üzerine inşa edildiği temeldir” yorumunu yaptı. “Ortaya çıkarılan bulgular, kritik varlıklar için devam eden güvenlik denetimlerinin ve kuruluşlardaki kırmızı ekip oluşturma anlaşmalarının inanılmaz önemini gösteriyor.”
günlük yudum Click Studios’a ulaştı ve geri dönüş alırsak ve ne zaman alırsak güncelleyeceğiz.
İLİŞKİLİ Mastodon kullanıcıları parola çalma saldırılarına karşı savunmasız