Компания Click Studios, занимающаяся разработкой корпоративного менеджера паролей Passwordstate, предупредила клиентов о необходимости срочно установить патч для устранения критической уязвимости обхода аутентификации.
Passwordstate работает как безопасное хранилище паролей, позволяя организациям хранить, организовывать и контролировать доступ к паролям, API-ключам, сертификатам и другим типам учетных данных через централизованный веб-интерфейс.
Помимо прочего, продукт интегрируется с Active Directory, а также его можно использовать для сброса паролей, аудита событий и входа в удаленные сеансы.
Согласно заявлениям самой Click Studios, ее менеджер паролей используют более 370 000 ИТ-специалистов, работающих в 29 000 компаниях по всему миру, включая государственные учреждения, финансовые организации, международные предприятия и компании из списка Fortune 500.
На официальном форуме компании было опубликовано предупреждение, в котором Click Studios призвала всех пользователей как можно скорее обновить Passwordstate до версии 9.9 Build 9972, которая вышла в конце прошлой недели.
Новая версия содержит два патча, один из которых исправляет критическую уязвимость (идентификатор CVE пока не присвоен). Проблема позволяет атакующим использовать специально подготовленный URL для обхода аутентификации на странице Emergency Access основных продуктов Passwordstate и последующего получения доступа к административному разделу.
Пока в компании не раскрывают никаких подробностей об этой уязвимости.
Издание Bleeping Computer сообщает, что Click Studios в частном порядке предложила клиентам временное решение, на тот случай, если они не могут установить обновленную версию немедленно.
«Единственное временное защитное решение — задать разрешенный IP-адрес Emergency Access для вашего веб-сервера в разделе System Settings->Allowed IP Ranges. Это краткосрочное частичное исправление, и Click Studios настоятельно рекомендует всем клиентам как можно скорее обновиться до Passwordstate Build 9972», — сообщили в компании.
Стоит отметить, что в 2021 году у клиентов Click Studios уже возникали проблемы с безопасностью. Тогда компания стала жертвой кибератаки, в результате которой злоумышленники распространили среди пользователей Passwordstate вредоносное обновление, заразив их машины малварью Moserware. К тому же вскоре после этого взлома пострадавшие пользователи Passwordstate стали мишенью для фишеров.
