Se han revelado múltiples vulnerabilidades de alta gravedad en la solución de administración de contraseñas Passwordstate que podría ser explotada por un adversario remoto no autenticado para obtener las contraseñas de texto sin formato de un usuario.
«La explotación exitosa permite que un atacante no autenticado extraiga contraseñas de una instancia, sobrescriba todas las contraseñas almacenadas dentro de la base de datos o eleve sus privilegios dentro de la aplicación», dijo la firma suiza de ciberseguridad modzero AG en un informe publicado esta semana.
«Algunas de las vulnerabilidades individuales se pueden encadenar para obtener un shell en el sistema host de Passwordstate y volcar todas las contraseñas almacenadas en texto claro, comenzando con nada más que un nombre de usuario válido».
Passwordstate, desarrollado por una empresa australiana llamada Click Studios, tiene más de 29 000 clientes y lo utilizan más de 370 000 profesionales de TI.
Una de las fallas también afecta a la versión 9.5.8.4 de Passwordstate para el navegador web Chrome. La última versión del complemento del navegador es 9.6.1.2, que se lanzó el 7 de septiembre de 2022.
Netsparker combina la gestión de la seguridad de las aplicaciones con integraciones e informes que mejoran el flujo de trabajo de su equipo.
Conocer..
La lista de vulnerabilidades identificadas por modzero AG se encuentra a continuación:
- CVE-2022-3875 (puntaje CVSS: 9.1): una omisión de autenticación para la API de Passwordstate
- CVE-2022-3876 (puntaje CVSS: 6.5): una omisión de los controles de acceso a través de claves controladas por el usuario
- CVE-2022-3877 (puntaje CVSS: 5.7): una vulnerabilidad de secuencias de comandos entre sitios ( XSS ) almacenada en el campo URL de cada entrada de contraseña
- Sin CVE (puntaje CVSS: 6.0): un mecanismo insuficiente para proteger las contraseñas mediante el uso de cifrado simétrico del lado del servidor
- Sin CVE (puntaje CVSS: 5.3): uso de credenciales codificadas para enumerar eventos auditados, como solicitudes de contraseña y cambios de cuenta de usuario a través de la API
- Sin CVE (puntuación CVSS: 4,3): uso de credenciales insuficientemente protegidas para listas de contraseñas
Explotar las vulnerabilidades podría permitir que un atacante con conocimiento de un nombre de usuario válido extraiga contraseñas guardadas en texto no cifrado, sobrescriba las contraseñas en la base de datos e incluso eleve los privilegios para lograr la ejecución remota de código.
En una cadena de ataque demostrada por modzero AG, un actor de amenazas podría falsificar un token API para una cuenta de administrador y explotar la falla XSS para agregar una entrada de contraseña maliciosa para obtener un shell inverso y obtener las contraseñas alojadas en la instancia.
Se recomienda a los usuarios actualizar a Passwordstate 9.6 – Build 9653 lanzado el 7 de noviembre de 2022 o versiones posteriores para mitigar las amenazas potenciales.
Fuente: thehackernews
Si te ha gustado, ¡compártelo con tus amigos!
