In der Passwortverwaltungslösung Passwordstate wurden mehrere schwerwiegende Schwachstellen entdeckt, die von einem nicht authentifizierten Angreifer ausgenutzt werden können, um an die Klartextpasswörter eines Benutzers zu gelangen.
„Wenn sie erfolgreich ausgenutzt wird, kann ein nicht authentifizierter Angreifer Passwörter aus einer Instanz auslesen, alle gespeicherten Passwörter in der Datenbank überschreiben oder seine Rechte innerhalb der Anwendung erhöhen“, so das Schweizer Cybersecurity-Unternehmen modzero AG in einem diese Woche veröffentlichten Bericht.
„Einige der einzelnen Schwachstellen können miteinander verknüpft werden, um eine Shell auf dem Passwordstate-Hostsystem zu erlangen und alle gespeicherten Passwörter im Klartext abzuspeichern, beginnend mit nichts weiter als einem gültigen Benutzernamen.
Passwordstate, das von einem australischen Unternehmen namens Click Studios entwickelt wurde, hat über 29.000 Kunden und wird von mehr als 370.000 IT-Fachleuten genutzt.
Eine der Schwachstellen betrifft auch die Passwordstate-Version 9.5.8.4 für den Chrome-Webbrowser. Die neueste Version des Browser-Add-ons ist 9.6.1.2, die am 7. September 2022 veröffentlicht wurde.
Die Liste der von der modzero AG identifizierten Schwachstellen lautet wie folgt
- CVE-2022-3875 (CVSS score: 9.1) – Eine Umgehung der Authentifizierung für die API von Passwordstate
- CVE-2022-3876 (CVSS-Score: 6.5) – Umgehung der Zugriffskontrolle durch benutzergesteuerte Schlüssel
- CVE-2022-3877 (CVSS score: 5.7) – Eine gespeicherte Cross-Site-Scripting(XSS)-Schwachstelle im URL-Feld jeder Passworteingabe
- Keine CVE (CVSS-Score: 6.0) – Ein unzureichender Mechanismus zur Sicherung von Passwörtern durch serverseitige symmetrische Verschlüsselung
- Keine CVE (CVSS-Score: 5.3) – Verwendung von fest kodierten Anmeldeinformationen, um geprüfte Ereignisse wie Passwortanfragen und Änderungen von Benutzerkonten über die API aufzulisten
- Keine CVE (CVSS-Score: 4.3) – Verwendung von unzureichend geschützten Zugangsdaten für Passwortlisten
Die Ausnutzung der Schwachstellen könnte es einem Angreifer mit Kenntnis eines gültigen Benutzernamens ermöglichen, gespeicherte Passwörter im Klartext zu extrahieren, die Passwörter in der Datenbank zu überschreiben und sogar seine Privilegien zu erhöhen, um Remotecodeausführung zu erreichen.
Darüber hinaus könnte ein unzulässiger Autorisierungsfluss (CVSS-Score: 3.7) in der Chrome-Browsererweiterung dazu genutzt werden, alle Passwörter an eine von einem Akteur kontrollierte Domain zu senden.
In einer von der modzero AG demonstrierten Angriffskette könnte ein Angreifer ein API-Token für ein Administratorkonto fälschen und die XSS-Schwachstelle ausnutzen, um einen bösartigen Passworteintrag hinzuzufügen, eine Reverse Shell zu erhalten und die in der Instanz gehosteten Passwörter abzugreifen.
Was sollten User nun unternehmen?
Benutzern wird empfohlen, auf Passwordstate 9.6 – Build 9653, das am 7. November 2022 veröffentlicht wurde, oder eine neuere Version zu aktualisieren, um die potenziellen Bedrohungen zu entschärfen.
Passwordstate wurde im April 2021 Opfer einer Supply-Chain-Attacke, die es den Angreifern ermöglichte, den Update-Mechanismus des Dienstes zu nutzen, um eine Backdoor auf den Rechnern der Kunden einzuschleusen.