Các nhà nghiên cứu vừa phát hiện một số lỗ hổng trong trình quản lý mật khẩu doanh nghiệp Passwordstate do công ty Click Studios của Úc sản xuất. Trong số này, có lỗ hổng nghiêm trọng cho phép hacker không xác thực lấy được mật khẩu của người dùng.
Các nhà nghiên cứu của Modzero đã phát hiện tổng cộng 7 loại lỗ hổng trong Passwordstate, bao gồm các vấn đề liên quan đến xác thực và bỏ qua cấp quyền, bảo vệ mật khẩu không đúng cách, thông tin xác thực bị mã hóa cứng và lỗ hổng XSS.
Lỗ hổng bỏ qua xác thực API có mã theo dõi CVE-2022-3875, được đánh giá mức độ nghiêm trọng. Lỗ hổng cho phép kẻ tấn công bỏ qua xác thực cho API Passwordstate, truy cập vào mật khẩu trang web, OTP, danh sách mật khẩu và các bí mật khác của người dùng, chỉ cần biết username của họ.
Các lỗ hổng còn lại được xếp mức độ ‘trung bình’ hoặc ‘thấp’, nhưng vẫn có thể gây rủi ro đáng kể khi kết hợp với các lỗ hổng khác.
Các nhà nghiên cứu của Modzero đã demo việc hacker biết username có thể giả mạo token API cho tên người dùng đó, xem qua tất cả danh sách mật khẩu, thêm payload XSS vào tài khoản của nạn nhân thông qua mục nhập mật khẩu mới (payload được thực thi khi người dùng xem mục nhập), thêm một reverse shell vào hệ thống, và giải mã và kết xuất tất cả các mật khẩu được lưu trữ trong Passwardstate.
Đây không phải lần đầu tiên Passwordstate bị nhắm mục tiêu. Vào tháng 4/2021, hãng đã kêu gọi người dùng đặt lại tất cả mật khẩu sau khi một bản cập nhật bị nhiễm mã độc trong cuộc tấn công chuỗi cung ứng.
Không có gì lạ khi Passwordstate là mục tiêu hấp dẫn của hacker. Click Studios cho biết sản phẩm của họ được sử dụng bởi hơn 29.000 khách hàng, bao gồm nhiều công ty trong danh sách Fortune 500.
Theo Security week