Поделиться
В российском менеджере паролей Passwork исправлены уязвимости, выявленные экспертами Positive Technologies
Эксперты PT SWARM Алексей Писаренко, Алексей Соловьев и Олег Сурнин помогли устранить шесть уязвимостей в парольном менеджере Passwork, которые в случае их успешной эксплуатации могли привести к потере доступа к паролям. Программа Passwork входит в единый реестр российского ПО, ее используют крупнейшие компании России банковской, строительной, промышленной и других отраслей. Вендор был уведомлен об угрозе в рамках политики ответственного разглашения и выпустил обновление ПО.
Уязвимости BDU:2024-08016 — BDU:2024-08021 получили оценки от 8,1 до 5,8 балла по шкале CVSS 3.1, что соответствует среднему и высокому уровнями опасности. В случае если нарушителям удалось бы успешно проэксплуатировать уязвимости, атаки могли потенциально привести к утечке информации, а также к нелегитимным изменениям данных профиля в результате выполнения произвольных фоновых (то есть без взаимодействия с пользователем) запросов в браузере жертвы. Недостатки были устранены разработчиками Passwork в версии 6.4.3, опубликованной 14 ноября 2024 г.
«Эксплуатация BDU:2024-08018 (оценка 7,6 балла по шкале CVSS 3.1, уязвимость типа «выход за пределы назначенного каталога») могла бы позволить злоумышленнику получить доступ к локальным файлам и каталогам на сервере. Такие действия могли бы привести к недоступности приложения Passwork за счет перезаписи файлов. Кроме того, если бы нарушитель смог переписать файл базы данных с паролями (это зависит от параметров самого приложения и полученных атакующим привилегий), возник бы риск утраты всех паролей», — сказал Олег Сурнин, руководитель группы исследований безопасности мобильных приложений, Positive Technologies.
По словам Алексея Соловьева, эксперты обнаружили несколько сценариев эксплуатации уязвимостей BDU:2024-08021 и BDU:2024-08017, при которых злоумышленник, имея минимальные привилегии в системе, мог бы внедрить произвольный код на языке JavaScript. После совершения определенных действий атакующим такой JavaScript-код мог быть выполнен в браузере пользователя, в том числе и от имени администратора. Кроме того, был найден сценарий эксплуатации уязвимости BDU:2024-08016, при котором можно было бы выполнить произвольный код JavaScript в браузере пользователя, если бы он перешел по вредоносной ссылке. В ходе таких атак могли быть скомпрометированы аккаунты как администратора Passwork, так и пользователя без привилегий администратора.
Для обнаружения веб-уязвимостей эффективно применение статического и динамического анализаторов кода, таких как PT Application Inspector и PT BlackBox. Для блокировки попыток эксплуатации уязвимостей стоит использовать межсетевые экраны уровня веб-приложений, например, PT Application Firewall (у которого также есть облачная версия — PT Cloud Application Firewall). Вовремя выявить попытки эксплуатации уязвимостей внутри сетевого контура компании помогут продукты классов NTA, NDR, такие как PT Network Attack Discovery, и средства анализа сетевого трафика, например PT NGFW. Так, в PT NAD и PT NGFW уже добавлены правила детектирования уязвимостей BDU:2024-08019 и BDU:2024-08018.
Короткая ссылка
