Passwordstate凭据管理器中修补的密码盗窃错误链

企业密码管理器Passwordstate中的漏洞已被修复，这些漏洞可以结合起来泄露存储的凭据。Passwordstate由澳大利亚供应商Click Studios开发，是一个内部部署套件，包含基于角色的管理和访问控制、敏感信息共享、AES 数据加密和浏览器扩展功能。该软件拥有大约29000名用户。在客户请求检查密码管理器的安全性后，瑞士安全咨询公司modzero AG对Passwordstate进行了审查。Modzero研究人员Constantin Muller、Jan Benninger和Pascal Zenker对Passwordstate进行了适当的审计，并发现了一系列安全问题，如团队披露报告(PDF)中所述。

它们包括CVE-2022-3875，一种高严重性的API身份验证绕过(CVSS 7.3)；CVE-2022-3876(CVSS 4.3)，其中UpdatePassword文件操作导致授权绕过；和CVE-2022-3877(CVSS 3.5)，这是用户界面中的跨站点脚本(XSS)漏洞。

研究人员还发现了另一个XSS，使用硬编码的API凭据，对密码列表的保护不足，以及浏览器扩展中密码的潜在暴露。

潜在的攻击链如下所示：使用有效用户名伪造API令牌，在公共和私人密码列表中添加带有XSS负载的恶意密码条目，等到管理员无意中打开密码条目，保护反向shell，然后拉取并转储存储在Passwordstate实例中的密码。

“成功的利用允许未经身份验证的攻击者从实例中泄露密码，覆盖数据库中所有存储的密码，或者提升他们在应用程序中的特权，”研究人员说。

“可以将各个漏洞链接起来，以获得Passwordstate主机系统上的外壳，并以明文形式转储所有存储的密码——从一个有效的用户名开始！”

根据modzero的说法，Click Studios在整个披露过程中“反应迅速”，并迅速对研究人员的发现进行分类和修补，从而产生了Passwordstate版本9.6(9653)。

“密码安全和密码管理解决方案是组织安全基础设施构建的基础，”modzero评论道。“未发现的发现表明，对组织内的关键资产和红队参与进行持续安全审计具有不可思议的重要性。”

原文始发于微信公众号（郑州网络安全）：Passwordstate凭据管理器中修补的密码盗窃错误链