وصله فوری برای رفع آسیب‌پذیری auth bypass در Passwordstate منتشر شد

شرکت Click Studios، توسعه‌دهنده نرم‌افزار مدیریت گذرواژه سازمانی Passwordstate، به مشتریان خود هشدار داده است که برای رفع یک آسیب‌پذیری شدید از نوع authentication bypass هرچه سریع‌تر اقدام به نصب وصله امنیتی کنند.

Passwordstate به‌عنوان یک password vault ایمن عمل می‌کند که به سازمان‌ها امکان ذخیره‌سازی، سازمان‌دهی و کنترل دسترسی به گذرواژه‌ها، API keys، گواهی‌ها و سایر اعتبارنامه‌ها را از طریق یک رابط وب متمرکز فراهم می‌سازد.

به گفته Click Studios، نرم‌افزار Passwordstate توسط بیش از ۳۷۰ هزار متخصص IT در ۲۹ هزار شرکت در سراسر جهان مورد استفاده قرار می‌گیرد؛ از جمله نهادهای دولتی، مؤسسات مالی، شرکت‌های بزرگ جهانی و سازمان‌های عضو Fortune 500 در بخش‌های مختلف صنعتی.

این شرکت در اطلاعیه‌ای در انجمن رسمی خود از کاربران خواسته است که «در اسرع وقت» به نسخه Passwordstate 9.9 Build 9972 که امروز همراه با دو به‌روزرسانی امنیتی منتشر شده، ارتقا دهند. یکی از این به‌روزرسانی‌ها مربوط به یک نقص امنیتی با شدت بالا (بدون شناسه CVE) است که به مهاجمان امکان می‌دهد با استفاده از یک URL دستکاری‌شده در صفحه Emergency Access محصولات Passwordstate، فرآیند احراز هویت را دور بزنند و به بخش مدیریت Passwordstate Administration دسترسی پیدا کنند.

با اینکه شرکت هنوز جزئیات بیشتری از این آسیب‌پذیری را به‌صورت عمومی منتشر نکرده، اما در ایمیل‌هایی که به مشتریان ارسال شده و توسط BleepingComputer مشاهده گردیده، یک راهکار موقت برای کسانی که بلافاصله قادر به ارتقا نیستند ارائه شده است.

Click Studios در این خصوص اعلام کرد:
«این شرکت یافته‌ها را تحلیل و آزمایش کرده و تأیید می‌کند که آسیب‌پذیری زمانی وجود دارد که یک URL خاص و دستکاری‌شده در صفحه Emergency Access وارد شود. تنها راهکار موقت این است که در بخش System Settings -> Allowed IP Ranges، آدرس‌های IP مجاز برای دسترسی به صفحه Emergency Access سرور وب تنظیم شود. این یک راهکار جزئی و کوتاه‌مدت است و Click Studios قویاً توصیه می‌کند تمامی مشتریان هرچه سریع‌تر به Passwordstate Build 9972 ارتقا دهند.»

چهار سال پیش نیز، Click Studios به مشتریان خود اطلاع داده بود که مهاجمان موفق شده‌اند مکانیزم به‌روزرسانی این نرم‌افزار را به خطر بیندازند و بدافزار سرقت اطلاعاتی با نام Moserpass را در آوریل ۲۰۲۱ به تعدادی نامشخص از کاربران تحویل دهند.

چند روز بعد، شرکت تأیید کرد برخی از مشتریان آلوده ممکن است رکوردهای گذرواژه ذخیره‌شده در Passwordstate آن‌ها سرقت شده باشد و بقیه کاربران نیز هدف حملات فیشینگ با نسخه‌های به‌روزرسانی‌شده بدافزار Moserpass قرار گرفته‌اند.

در آن زمان، Click Studios به مشتریانی که در حمله زنجیره تأمین آوریل ۲۰۲۱ آلوده شده بودند توصیه کرد که تمامی گذرواژه‌های ذخیره‌شده در پایگاه داده خود را بازنشانی کنند.