Las vulnerabilidades de Passwordstate podrían exponer contraseñas de texto sin formato

Los investigadores han descubierto múltiples vulnerabilidades en el administrador de credenciales «Passwordstate» que podrían exponer las contraseñas almacenadas. Los proveedores parchearon las vulnerabilidades antes de los intentos activos de explotación, evitando el riesgo.

Vulnerabilidad de estado de contraseña que expone las credenciales

Según un aviso de la empresa suiza de ciberseguridad modzero AG, sus investigadores han detectado varios problemas de seguridad en Passwordstate.

Passwordstate es una solución de gestión de contraseñas empresariales de ClickStudios con una gran base de clientes, incluidas algunas empresas de Fortune 500.

Específicamente, encontraron al menos siete problemas de seguridad en la aplicación Passwordstate y la extensión de Chrome. Los investigadores creían que un atacante podría incluso explotar estas vulnerabilidades de forma encadenada para obtener un shell en el sistema host de Passwordstate y recuperar las credenciales sin problemas.

Acerca de las vulnerabilidades

Las vulnerabilidades más importantes que afectan a la herramienta incluyen,

• CVE-2022-3875 (CVSS 9.1): una vulnerabilidad de omisión de autenticación de gravedad crítica en la API de Passwordstate. Un adversario no autenticado podría modificar un token API supuestamente inmutable para explotar la falla, que solo requería que el atacante conociera el nombre de usuario del objetivo.
• CVE-2022-3876 (CVSS 6.5): una omisión de autorización de gravedad media que permite a un atacante autenticado eludir los controles de acceso y alterar las entradas de contraseña de un objetivo. La explotación de esta vulnerabilidad requería que el atacante tuviera acceso autenticado a la herramienta y conociera el PasswordID o PasswordListID del objetivo.
• CVE-2022-3877 (CVSS 5.7): un atacante autenticado podría explotar esta vulnerabilidad de secuencias de comandos entre sitios (XSS) para obtener privilegios elevados y leer contraseñas. Esta vulnerabilidad existía en la URL de entrada de contraseña debido a una neutralización de entrada incorrecta.

Además, su aviso también menciona las siguientes cuatro vulnerabilidades sin una ID de CVE.

• La protección de contraseña almacenada falló debido a la implementación del cifrado simétrico del lado del servidor en lugar del cifrado de extremo a extremo. Un atacante con acceso a un host de instancia de Passwordstate podría recuperar claves de cifrado simétricas y obtener acceso a contraseñas de texto sin formato. Aunque este no es un defecto informado recientemente, Northwave Security también lo había informado anteriormente. En ese momento, los mantenedores de Passwordstate intentaron solucionar esto mediante la ofuscación, pero aún era posible que un atacante ferviente aplicara ingeniería inversa a la mitigación.
• Los investigadores notaron la presencia de credenciales codificadas en la API de Webcharts del software, lo que permite que un adversario recupere los eventos auditados.
• Las credenciales expuestas de las listas seguras de contraseñas en el código fuente HTML podrían permitir que un atacante autenticado recupere las contraseñas del modelo de listas.
• Un permiso incorrecto en la extensión del navegador Passwordstate podría permitir que un atacante acceda a las contraseñas almacenadas. Para aprovechar esta vulnerabilidad, el atacante necesitaba engañar a la víctima para que visitara una página web creada con fines malintencionados.

Vulnerabilidades corregidas de Passwordstate

Los investigadores descubrieron los problemas de seguridad de Passwordstate en agosto de 2022, luego de lo cual informaron el asunto a Click Studios. Por lo tanto, los proveedores se dieron cuenta del informe y comenzaron a desarrollar las correcciones.

Según modzero, las vulnerabilidades generalmente afectaban a Passwordstate 9.5 (compilación 9583 y anteriores) y la extensión del navegador Passwordstate versión 9.5.8.4. Los proveedores corrigieron las fallas con el lanzamiento de Passwordstate 9.6 Build 9653.

Sin embargo, según su sitio web, esta no es la última versión del software, lo que indica que la versión 9655 es la más reciente. Por lo tanto, todos los usuarios de Passwordstate deben actualizar a la última versión disponible para recibir todas las correcciones de errores.

Háganos saber sus pensamientos en los comentarios.

Fuente