Les chercheurs ont découvert de nombreuses vulnérabilités dans le gestionnaire d'identifiants “Passwordstate” qui pourraient laisser les mots de passe stockés exposés. Les vendeurs ont corrigé les failles avant les tentatives d'exploitation actives, prévenant ainsi le risque.
La vulnérabilité de Passwordstate expose les informations d'identification
Selon un avis de la société suisse de cybersécurité modzero AG, leurs chercheurs ont détecté plusieurs problèmes de sécurité dans Passwordstate.
Passwordstate est une solution de gestion des mots de passe d'entreprise de ClickStudios qui compte une clientèle importante, dont certaines entreprises du Fortune 500.
Plus précisément, ils ont trouvé au moins sept problèmes de sécurité dans l'application Passwordstate et l'extension Chrome. Les chercheurs pensent qu'un attaquant pourrait même exploiter ces vulnérabilités de manière enchaînée pour obtenir un shell sur le système hôte de Passwordstate et récupérer des informations d'identification en texte clair.
À propos des vulnérabilités
Les vulnérabilités les plus importantes affectant l'outil sont les suivantes,
- CVE-2022-3875 (CVSS 9.1) : Une vulnérabilité de gravité critique de contournement d'authentification dans l'API Passwordstate. Un adversaire non authentifié pouvait modifier un jeton d'API supposé immuable pour exploiter la faille, qui nécessitait seulement que l'attaquant connaisse le nom d'utilisateur de la cible.
- CVE-2022-3876 (CVSS 6.5) : Un contournement d'autorisation de gravité moyenne permettant à un attaquant authentifié de contourner les contrôles d'accès et de modifier les entrées de mot de passe d'une cible. L'exploitation de cette vulnérabilité nécessite que l'attaquant ait un accès authentifié à l'outil et connaisse le PasswordID ou le PasswordListID de la cible.
- CVE-2022-3877 (CVSS 5.7) : Un attaquant authentifié pourrait exploiter cette vulnérabilité de type cross-site scripting (XSS) pour obtenir des privilèges élevés et lire les mots de passe. Cette vulnérabilité existait dans l'URL de saisie du mot de passe en raison d'une neutralisation incorrecte des entrées.
En outre, leur avis mentionne également les quatre vulnérabilités suivantes sans ID CVE.
- Échec de la protection des mots de passe stockés en raison de l'implémentation du chiffrement symétrique côté serveur au lieu du chiffrement de bout en bout. Un attaquant ayant accès à un hôte de l'instance Passwordstate pourrait récupérer les clés de chiffrement symétrique et les mots de passe d'accès en clair. Bien qu'il ne s'agisse pas d'une faille récemment signalée, car Northwave Security l'avait également signalée plus tôt. À l'époque, les responsables de Passwordstate ont essayé de résoudre ce problème en l'occultant, mais il restait possible pour un attaquant ardent de faire de l'ingénierie inverse de l'atténuation.
- Les chercheurs ont remarqué la présence d'identifiants codés en dur dans l'API des webcharts du logiciel, permettant à un adversaire de récupérer les événements audités.
- Les informations d'identification exposées des listes sécurisées par mot de passe dans le code source HTML pourraient permettre à un attaquant authentifié de récupérer les mots de passe du modèle des listes.
- Une autorisation incorrecte dans l'extension de navigateur Passwordstate pourrait permettre à un attaquant d'accéder aux mots de passe stockés. Pour exploiter cette vulnérabilité, l'attaquant doit inciter la victime à visiter une page Web malveillante.
Passwordstate a corrigé les failles
Les chercheurs ont découvert les problèmes de sécurité de Passwordstate en août 2022, après quoi ils ont signalé l'affaire à Click Studios. En conséquence, les vendeurs ont accusé réception du rapport et ont commencé à développer les correctifs.
Selon modzero, les vulnérabilités affectaient généralement Passwordstate 9.5 (build 9583 et antérieur) et l'extension de navigateur Passwordstate version 9.5.8.4. Les vendeurs ont corrigé les failles avec la publication de Passwordstate 9.6 Build 9653.
Néanmoins, selon son site Web, ce n'est pas la dernière version du logiciel, qui indique Build 9655 comme étant la plus récente. Tous les utilisateurs de Passwordstate doivent donc s'assurer de passer à la dernière version disponible pour recevoir toutes les corrections de bogues.
Fais-nous part de tes impressions dans les commentaires.
