Click Studios, kompanija iza enterprise menadžera lozinki Passwordstate, upozorila je svoje korisnike da što prije zakrpe visoko-rizičnu ranjivost koja omogućava zaobilaženje autentifikacije.
Passwordstate funkcioniše kao siguran trezor lozinki koji organizacijama omogućava čuvanje, organizovanje i kontrolu pristupa lozinkama, API ključevima, sertifikatima i drugim kredencijalima kroz centralizovani web interfejs.
Prema podacima kompanije, Passwordstate koristi preko 370.000 IT profesionalaca u 29.000 kompanija širom svijeta, uključujući državne agencije, finansijske institucije, globalne korporacije i Fortune 500 kompanije iz različitih industrijskih sektora.
U saopštenju na zvaničnom forumu, Click Studios je pozvao korisnike da odmah ažuriraju na verziju Passwordstate 9.9 Build 9972, koja je objavljena ranije danas i donosi dvije bezbjednosne zakrpe. Jedna od njih odnosi se na ranjivost visokog rizika (još uvijek bez CVE identifikatora) koja omogućava hakerima da pomoću pažljivo kreiranog URL-a iskoriste Emergency Access stranicu i zaobiđu autentifikaciju, čime dobijaju pristup administracionom dijelu sistema.
Iako detalji o ranjivosti nisu javno objavljeni, kompanija je poslala korisnicima e-mail sa privremenim rješenjem. U poruci se navodi da ranjivost postoji kada se unese posebno kreiran URL na Emergency Access stranici. Kao djelimično rješenje, savjetuje se ograničavanje pristupa preko opcije Emergency Access Allowed IP Address u podešavanjima sistema. Ipak, Click Studios naglašava da je ovo samo kratkoročna mjera i da svi korisnici treba da ažuriraju na Build 9972 što je prije moguće.
Ovo nije prvi put da se Passwordstate našao na udaru hakera. Prije četiri godine, kompanija je potvrdila da je njen mehanizam za ažuriranje bio kompromitovan i korišćen za distribuciju malvera Moserpass, koji je krao podatke korisnika. Tada je utvrđeno da su određeni korisnici imali svoje lozinke kompromitovane, dok su ostali postali meta fišing kampanja sa unaprijeđenom verzijom istog malvera.
Korisnicima koji su tada bili pogođeni preporučeno je resetovanje svih lozinki sačuvanih u njihovim bazama.
Izvor: BleepingComputer
