Ngày 22 tháng 12 năm 2022Ravie LakshmananQuản lý mật khẩu
Nhiều lỗ hổng nghiêm trọng cao đã được tiết lộ trong giải pháp quản lý mật khẩu Passwordstate có thể bị kẻ thù từ xa không được xác thực khai thác để lấy mật khẩu văn bản gốc của người dùng.
“Khai thác thành công cho phép kẻ tấn công không được xác thực lấy cắp mật khẩu từ một phiên bản, ghi đè lên tất cả mật khẩu được lưu trữ trong cơ sở dữ liệu hoặc nâng cao đặc quyền của chúng trong ứng dụng”, công ty an ninh mạng Thụy Sĩ modzero AG cho biết trong một báo cáo được công bố trong tuần này.
“Một số lỗ hổng riêng lẻ có thể được xâu chuỗi để lấy vỏ trên hệ thống máy chủ Passwordstate và kết xuất tất cả mật khẩu được lưu trữ ở dạng văn bản rõ ràng, bắt đầu bằng một tên người dùng hợp lệ.”
Passwordstate, được phát triển bởi một công ty Úc tên là Click Studios, có hơn 29.000 khách hàng và được hơn 370.000 chuyên gia CNTT sử dụng.
Một trong những lỗ hổng cũng ảnh hưởng đến Passwordstate phiên bản 9.5.8.4 cho trình duyệt web Chrome. Phiên bản mới nhất của tiện ích bổ sung cho trình duyệt là 9.6.1.2, được phát hành vào ngày 7 tháng 9 năm 2022.
Dưới đây là danh sách các lỗ hổng được xác định bởi modzero AG –
CVE-2022-3875 (Điểm CVSS: 9,1) – Bỏ qua xác thực cho API của Passwordstate CVE-2022-3876 (Điểm CVSS: 6,5) – Bỏ qua kiểm soát truy cập thông qua các khóa do người dùng kiểm soát CVE-2022-3877 (Điểm CVSS: 5,7 ) – Lỗ hổng tập lệnh chéo trang (XSS) được lưu trữ trong trường URL của mọi mục nhập mật khẩu Không có CVE (điểm CVSS: 6,0) – Cơ chế không đủ để bảo mật mật khẩu bằng cách sử dụng mã hóa đối xứng phía máy chủ Không có CVE (điểm CVSS: 5,3) – Sử dụng thông tin đăng nhập được mã hóa cứng để liệt kê các sự kiện được kiểm tra, chẳng hạn như yêu cầu mật khẩu và thay đổi tài khoản người dùng thông qua API Không có CVE (điểm CVSS: 4,3) – Sử dụng thông tin đăng nhập được bảo vệ không đầy đủ cho Danh sách mật khẩu
Khai thác các lỗ hổng có thể cho phép kẻ tấn công biết tên người dùng hợp lệ trích xuất mật khẩu đã lưu ở dạng văn bản rõ ràng, ghi đè mật khẩu trong cơ sở dữ liệu và thậm chí nâng cao đặc quyền để thực thi mã từ xa.
Hơn nữa, luồng ủy quyền không phù hợp (điểm CVSS: 3,7) được xác định trong tiện ích mở rộng trình duyệt Chrome có thể được vũ khí hóa để gửi tất cả mật khẩu đến miền do tác nhân kiểm soát.
Trong một chuỗi tấn công do modzero AG thể hiện, kẻ đe dọa có thể giả mạo mã thông báo API cho tài khoản quản trị viên và khai thác lỗ hổng XSS để thêm mục nhập mật khẩu độc hại nhằm lấy một trình bao đảo ngược và lấy mật khẩu được lưu trữ trong phiên bản.
Người dùng nên cập nhật lên Passwordstate 9.6 – Build 9653 phát hành vào ngày 7 tháng 11 năm 2022 hoặc các phiên bản mới hơn để giảm thiểu các mối đe dọa tiềm ẩn.
Passwordstate, vào tháng 4 năm 2021, trở thành nạn nhân của một cuộc tấn công chuỗi cung ứng cho phép những kẻ tấn công tận dụng cơ chế cập nhật của dịch vụ để tạo một cửa hậu trên máy của khách hàng.
