El fabricante de Passwordstate, un gestor de contraseñas de nivel empresarial, ha instado a las organizaciones a instalar de manera urgente una actualización que corrige una vulnerabilidad crítica que los hackers pueden explotar para obtener acceso administrativo a sus bóvedas.
La vulnerabilidad de bypass de autenticación permite a los atacantes crear una URL que accede a una página de acceso de emergencia de Passwordstate. Desde allí, un atacante podría acceder a la sección administrativa del gestor de contraseñas. Aún no se ha asignado un identificador CVE.
Protegiendo las credenciales más privilegiadas de las empresas
Click Studios, la empresa australiana creadora de Passwordstate, informa que el gestor de credenciales es utilizado por 29,000 clientes y 370,000 profesionales de la seguridad. El producto está diseñado para proteger las credenciales más privilegiadas y sensibles de las organizaciones. Entre otras funciones, se integra en Active Directory, el servicio que utilizan los administradores de red de Windows para crear, cambiar y modificar cuentas de usuario. También puede ser utilizado para manejar restablecimientos de contraseñas, auditorías de eventos y accesos a sesiones remotas.
El jueves, Click Studios notificó a los clientes que había lanzado una actualización que corrige dos vulnerabilidades.
La vulnerabilidad de bypass de autenticación está “asociada con el acceso a la página de acceso de emergencia de los productos de Passwordstate, mediante el uso de una URL cuidadosamente elaborada, que podría permitir el acceso a la sección de administración de Passwordstate,” indicó Click Studios en su comunicado. La empresa señaló que el nivel de severidad de la vulnerabilidad era alto.
Un registro de cambios para la actualización muestra que también “fortaleció la seguridad y el enfoque para prevenir un posible Clickjacking asociado con nuestra extensión de navegador si los usuarios visitan sitios web comprometidos.” No se proporcionaron más detalles, y los representantes de Click Studios no respondieron de inmediato a las preguntas enviadas por correo electrónico.
Este aviso se produce cuatro años después de que Click Studios sufriera una violación de red que permitió a los atacantes comprometer el mecanismo de actualización de Passwordstate. Los hackers utilizaron su control para implementar una nueva versión del gestor de credenciales que contenía malware que se ejecutaba solo en memoria, un diseño que dificulta mucho la detección. Click Studios indicó que el código malicioso “extrae información sobre el sistema informático y ciertos datos de Passwordstate, que luego se envían a la red CDN de los actores maliciosos.”
Días después, Click Studios informó que algunos clientes afectados “podrían haber tenido sus registros de contraseñas de Passwordstate recolectados” y que otros estaban siendo blanco de ataques de phishing. Click Studios recomendó a los clientes que habían instalado la actualización maliciosa restablecer todas las contraseñas almacenadas en sus gestores. Posteriormente, Click Studios no proporcionó más actualizaciones sobre la violación, lo que generó el descontento de muchos usuarios.
Se recomienda a todos los usuarios de Passwordstate que actualicen a la versión 9.9 build 9972 lo antes posible.
Fuente original: ver aquí