Plusieurs vulnérabilités de haute gravité ont été révélées dans la solution de gestion des mots de passe Passwordstate qui pourraient être exploitées par un adversaire distant non authentifié pour obtenir les mots de passe en clair d’un utilisateur.
« Une exploitation réussie permet à un attaquant non authentifié d’exfiltrer les mots de passe d’une instance, d’écraser tous les mots de passe stockés dans la base de données ou d’élever leurs privilèges au sein de l’application », a déclaré la société suisse de cybersécurité modzero AG dans un rapport publié cette semaine.
« Certaines des vulnérabilités individuelles peuvent être enchaînées pour obtenir un shell sur le système hôte Passwordstate et vider tous les mots de passe stockés en texte clair, en commençant par rien de plus qu’un nom d’utilisateur valide. »
Passwordstate, développé par une société australienne nommée Click Studios, compte plus de 29 000 clients et est utilisé par plus de 370 000 professionnels de l’informatique.
L’une des failles affecte également la version 9.5.8.4 de Passwordstate pour le navigateur Web Chrome. La dernière version du module complémentaire de navigateur est la 9.6.1.2, qui a été publiée le 7 septembre 2022.
La liste des vulnérabilités identifiées par modzero AG est ci-dessous –
- CVE-2022-3875 (score CVSS : 9,1) – Un contournement d’authentification pour l’API de Passwordstate
- CVE-2022-3876 (score CVSS : 6,5) – Un contournement des contrôles d’accès via des clés contrôlées par l’utilisateur
- CVE-2022-3877 (score CVSS : 5,7) – Une vulnérabilité de script intersite (XSS) stockée dans le champ URL de chaque entrée de mot de passe
- Pas de CVE (score CVSS : 6,0) – Un mécanisme insuffisant pour sécuriser les mots de passe en utilisant le chiffrement symétrique côté serveur
- Pas de CVE (score CVSS : 5,3) – Utilisation d’informations d’identification codées en dur pour répertorier les événements audités tels que les demandes de mot de passe et les modifications de compte d’utilisateur via l’API
- Pas de CVE (score CVSS : 4,3) – Utilisation d’informations d’identification insuffisamment protégées pour les listes de mots de passe
L’exploitation des vulnérabilités pourrait permettre à un attaquant connaissant un nom d’utilisateur valide d’extraire les mots de passe enregistrés en texte clair, d’écraser les mots de passe dans la base de données et même d’élever les privilèges pour réaliser l’exécution de code à distance.
De plus, un flux d’autorisation incorrect (score CVSS : 3,7) identifié dans l’extension de navigateur Chrome pourrait être utilisé pour envoyer tous les mots de passe à un domaine contrôlé par un acteur.
Dans une chaîne d’attaque démontrée par modzero AG, un acteur malveillant pourrait falsifier un jeton d’API pour un compte administrateur et exploiter la faille XSS pour ajouter une entrée de mot de passe malveillante afin d’obtenir un shell inversé et récupérer les mots de passe hébergés dans l’instance.
Il est recommandé aux utilisateurs de mettre à jour vers Passwordstate 9.6 – Build 9653 publié le 7 novembre 2022 ou des versions ultérieures pour atténuer les menaces potentielles.
Passwordstate, en avril 2021, a été victime d’une attaque de la chaîne d’approvisionnement qui a permis aux attaquants de tirer parti du mécanisme de mise à jour du service pour supprimer une porte dérobée sur les machines des clients.