Se han revelado múltiples vulnerabilidades de alta gravedad en estado de la contraseña solución de administración de contraseñas que podría ser explotada por un adversario remoto no autenticado para obtener las contraseñas de texto sin formato de un usuario.
«La explotación exitosa permite que un atacante no autenticado extraiga contraseñas de una instancia, sobrescriba todas las contraseñas almacenadas dentro de la base de datos o eleve sus privilegios dentro de la aplicación», firma suiza de ciberseguridad modzero AG dijo en un informe publicado esta semana.
«Algunas de las vulnerabilidades individuales se pueden encadenar para obtener un shell en el sistema host de Passwordstate y volcar todas las contraseñas almacenadas en texto claro, comenzando con nada más que un nombre de usuario válido».
Passwordstate, desarrollado por una empresa australiana llamada Click Studios, tiene más de 29.000 clientes y es utilizado por más de 370.000 profesionales de TI.
Uno de los defectos también impacta Estado de contraseña versión 9.5.8.4 para el navegador web Chrome. La última versión del complemento del navegador es 9.6.1.2, que se lanzó el 7 de septiembre de 2022.
La lista de vulnerabilidades identificadas por modzero AG se encuentra a continuación:
- CVE-2022-3875 (Puntuación CVSS: 9.1): una omisión de autenticación para la API de Passwordstate
- CVE-2022-3876 (Puntuación CVSS: 6.5) – Una omisión de los controles de acceso a través de claves controladas por el usuario
- CVE-2022-3877 (Puntuación CVSS: 5,7) – Una secuencia de comandos entre sitios almacenada (XSS) vulnerabilidad en el campo URL de cada entrada de contraseña
- Sin CVE (puntaje CVSS: 6.0): un mecanismo insuficiente para proteger las contraseñas mediante el uso de cifrado simétrico del lado del servidor
- Sin CVE (puntaje CVSS: 5.3): uso de credenciales codificadas para enumerar eventos auditados, como solicitudes de contraseña y cambios de cuenta de usuario a través de la API
- Sin CVE (puntuación CVSS: 4,3): uso de credenciales insuficientemente protegidas para listas de contraseñas
Explotar las vulnerabilidades podría permitir que un atacante con conocimiento de un nombre de usuario válido extraiga contraseñas guardadas en texto no cifrado, sobrescriba las contraseñas en la base de datos e incluso eleve los privilegios para lograr la ejecución remota de código.
Además, un flujo de autorización inadecuado (puntuación CVSS: 3,7) identificado en la extensión del navegador Chrome podría convertirse en un arma para enviar todas las contraseñas a un dominio controlado por el actor.
En una cadena de ataque demostrada por modzero AG, un actor de amenazas podría falsificar un token API para una cuenta de administrador y explotar la falla XSS para agregar una entrada de contraseña maliciosa para obtener un shell inverso y obtener las contraseñas alojadas en la instancia.
Se recomienda a los usuarios actualizar a Estado de contraseña 9.6 – compilación 9653 lanzado el 7 de noviembre de 2022 o versiones posteriores para mitigar las amenazas potenciales.
Passwordstate, en abril de 2021, fue víctima de un ataque a la cadena de suministro que permitió a los atacantes aprovechar el mecanismo de actualización del servicio para colocar una puerta trasera en las máquinas de los clientes.