وصله فوری برای رفع آسیبپذیری auth bypass در Passwordstate منتشر شد
شرکت Click Studios، توسعهدهنده نرمافزار مدیریت گذرواژه سازمانی Passwordstate، به مشتریان خود هشدار داده است که برای رفع یک آسیبپذیری شدید از نوع authentication bypass هرچه سریعتر اقدام به نصب وصله امنیتی کنند.
Passwordstate بهعنوان یک password vault ایمن عمل میکند که به سازمانها امکان ذخیرهسازی، سازماندهی و کنترل دسترسی به گذرواژهها، API keys، گواهیها و سایر اعتبارنامهها را از طریق یک رابط وب متمرکز فراهم میسازد.
به گفته Click Studios، نرمافزار Passwordstate توسط بیش از ۳۷۰ هزار متخصص IT در ۲۹ هزار شرکت در سراسر جهان مورد استفاده قرار میگیرد؛ از جمله نهادهای دولتی، مؤسسات مالی، شرکتهای بزرگ جهانی و سازمانهای عضو Fortune 500 در بخشهای مختلف صنعتی.
این شرکت در اطلاعیهای در انجمن رسمی خود از کاربران خواسته است که «در اسرع وقت» به نسخه Passwordstate 9.9 Build 9972 که امروز همراه با دو بهروزرسانی امنیتی منتشر شده، ارتقا دهند. یکی از این بهروزرسانیها مربوط به یک نقص امنیتی با شدت بالا (بدون شناسه CVE) است که به مهاجمان امکان میدهد با استفاده از یک URL دستکاریشده در صفحه Emergency Access محصولات Passwordstate، فرآیند احراز هویت را دور بزنند و به بخش مدیریت Passwordstate Administration دسترسی پیدا کنند.
با اینکه شرکت هنوز جزئیات بیشتری از این آسیبپذیری را بهصورت عمومی منتشر نکرده، اما در ایمیلهایی که به مشتریان ارسال شده و توسط BleepingComputer مشاهده گردیده، یک راهکار موقت برای کسانی که بلافاصله قادر به ارتقا نیستند ارائه شده است.
Click Studios در این خصوص اعلام کرد:
«این شرکت یافتهها را تحلیل و آزمایش کرده و تأیید میکند که آسیبپذیری زمانی وجود دارد که یک URL خاص و دستکاریشده در صفحه Emergency Access وارد شود. تنها راهکار موقت این است که در بخش System Settings -> Allowed IP Ranges، آدرسهای IP مجاز برای دسترسی به صفحه Emergency Access سرور وب تنظیم شود. این یک راهکار جزئی و کوتاهمدت است و Click Studios قویاً توصیه میکند تمامی مشتریان هرچه سریعتر به Passwordstate Build 9972 ارتقا دهند.»
چهار سال پیش نیز، Click Studios به مشتریان خود اطلاع داده بود که مهاجمان موفق شدهاند مکانیزم بهروزرسانی این نرمافزار را به خطر بیندازند و بدافزار سرقت اطلاعاتی با نام Moserpass را در آوریل ۲۰۲۱ به تعدادی نامشخص از کاربران تحویل دهند.
چند روز بعد، شرکت تأیید کرد برخی از مشتریان آلوده ممکن است رکوردهای گذرواژه ذخیرهشده در Passwordstate آنها سرقت شده باشد و بقیه کاربران نیز هدف حملات فیشینگ با نسخههای بهروزرسانیشده بدافزار Moserpass قرار گرفتهاند.
در آن زمان، Click Studios به مشتریانی که در حمله زنجیره تأمین آوریل ۲۰۲۱ آلوده شده بودند توصیه کرد که تمامی گذرواژههای ذخیرهشده در پایگاه داده خود را بازنشانی کنند.