Çok sayıda yüksek önem dereceli güvenlik açığı ifşa edildi şifre durumu kimliği doğrulanmamış bir uzak düşman tarafından bir kullanıcının düz metin parolalarını elde etmek için kullanılabilecek parola yönetimi çözümü.
İsviçreli siber güvenlik firması modzero AG, “Başarılı bir istismar, kimliği doğrulanmamış bir saldırganın bir örnekten parolaları sızdırmasına, veritabanındaki tüm depolanan parolaların üzerine yazmasına veya uygulama içindeki ayrıcalıklarını yükseltmesine olanak tanır.” söz konusu bu hafta yayınlanan bir raporda.
“Bireysel güvenlik açıklarından bazıları, Passwordstate ana bilgisayar sisteminde bir kabuk elde etmek ve geçerli bir kullanıcı adından başka bir şeyle başlayarak tüm saklanan şifreleri düz metin olarak atmak için zincirlenebilir.”
Click Studios adlı Avustralyalı bir şirket tarafından geliştirilen Passwordstate, 29.000 müşteri ve 370.000’den fazla BT uzmanı tarafından kullanılmaktadır.
Kusurlardan biri de etkiliyor Parola durumu sürüm 9.5.8.4 Chrome web tarayıcısı için. Tarayıcı eklentisinin en son sürümü, 7 Eylül 2022’de yayınlanan 9.6.1.2’dir.
modzero AG tarafından tanımlanan güvenlik açıklarının listesi aşağıdadır –
- CVE-2022-3875 (CVSS puanı: 9.1) – Passwordstate’in API’si için bir kimlik doğrulama atlaması
- CVE-2022-3876 (CVSS puanı: 6.5) – Kullanıcı tarafından kontrol edilen anahtarlar aracılığıyla erişim kontrollerinin atlanması
- CVE-2022-3877 (CVSS puanı: 5.7) – Depolanmış bir siteler arası komut dosyası çalıştırma (XSS) her şifre girişinin URL alanındaki güvenlik açığı
- CVE Yok (CVSS puanı: 6.0) – Sunucu tarafı simetrik şifreleme kullanarak parolaların güvenliğini sağlamak için yetersiz bir mekanizma
- CVE yok (CVSS puanı: 5.3) – API aracılığıyla parola istekleri ve kullanıcı hesabı değişiklikleri gibi denetlenen olayları listelemek için sabit kodlanmış kimlik bilgilerinin kullanımı
- CVE Yok (CVSS puanı: 4.3) – Parola Listeleri için yeterince korunmayan kimlik bilgilerinin kullanılması
Güvenlik açıklarından yararlanmak, geçerli bir kullanıcı adı bilgisi olan bir saldırganın kayıtlı parolaları düz metin olarak çıkarmasına, veritabanındaki parolaların üzerine yazmasına ve hatta uzaktan kod yürütme elde etmek için ayrıcalıkları yükseltmesine izin verebilir.
Dahası, Chrome tarayıcı uzantısında tanımlanan uygunsuz bir yetkilendirme akışı (CVSS puanı: 3.7), tüm şifreleri aktör tarafından kontrol edilen bir alana göndermek için silah haline getirilebilir.
modzero AG tarafından gösterilen bir saldırı zincirinde, bir tehdit aktörü bir yönetici hesabı için sahte bir API belirteci oluşturabilir ve ters bir kabuk elde etmek ve örnekte barındırılan parolaları ele geçirmek için kötü amaçlı bir parola girişi eklemek üzere XSS kusurundan yararlanabilir.
Kullanıcıların güncelleme yapması önerilir Passwordstate 9.6 – Derleme 9653 olası tehditleri azaltmak için 7 Kasım 2022’de veya sonraki sürümlerde yayınlandı.
Passwordstate, Nisan 2021’de, saldırganların müşterinin makinelerine bir arka kapı bırakmak için hizmetin güncelleme mekanizmasından yararlanmasına olanak tanıyan bir tedarik zinciri saldırısının kurbanı oldu.