Специалисты Positive Technologies (Алексей Писаренко, Алексей Соловьев и Олег Сурнин) помогли устранить шесть уязвимостей в парольном менеджере Passwork. Успешная эксплуатация этих проблем могла привести к потере доступа к паролям.
Passwork внесен в единый реестр российского ПО, и менеджер используют крупнейшие российские компании, работающие в банковской, строительной, промышленной и других отраслях.
Уязвимости BDU:2024-08016 — BDU:2024-08021 получили оценки от 8,1 до 5,8 баллов по шкале CVSS. В случае их успешной эксплуатации атаки могли потенциально привести к утечке информации, а также к нелегитимным изменениям данных профиля в результате выполнения произвольных фоновых (то есть без взаимодействия с пользователем) запросов в браузере жертвы.
«Эксплуатация BDU:2024-08018 (оценка 7,6 балла по шкале CVSS 3.1, уязвимость типа Path Traversal) могла бы позволить злоумышленнику получить доступ к локальным файлам и каталогам на сервере. Такие действия могли бы привести к недоступности приложения Passwork за счет перезаписи файлов. Кроме того, если бы нарушитель смог переписать файл базы данных с паролями (это зависит от параметров самого приложения и полученных атакующим привилегий), возник бы риск утраты всех паролей», — рассказывает Олег Сурнин, руководитель группы исследований безопасности мобильных приложений, Positive Technologies.
По словам Алексея Соловьева, было выявлено несколько сценариев эксплуатации уязвимостей BDU:2024-08021 и BDU:2024-08017, при которых злоумышленник, имея минимальные привилегии в системе, мог внедрить произвольный JavaScript-код.
После совершения определенных действий атакующим такой JavaScript-код мог быть выполнен в браузере пользователя, в том числе и от имени администратора.
Кроме того, был найден сценарий эксплуатации уязвимости BDU:2024-08016, который позволял выполнить произвольный код JavaScript в браузере пользователя, если перед этим жертва перешла по вредоносной ссылке. В ходе таких атак могли быть скомпрометированы аккаунты как администратора Passwork, так и обычного пользователя.
Исследователи уведомили производителя о найденных проблемах, после чего разработчики выпустили обновление. Уязвимости были устранены в версии 6.4.3, выпущенной 14 ноября 2024 года.
