Der Entwickler von Passwordstate—einem Enterprise-Passwortmanager, der zur Sicherung der sensibelsten Zugangsdaten von Unternehmen eingesetzt wird—fordert alle Kundinnen und Kunden dringend dazu auf, das neu veröffentlichte Update umgehend zu installieren. Dieses behebt eine Sicherheitslücke mit hoher Kritikalität, die es Angreifern ermöglicht, die Authentifizierung zu umgehen und möglicherweise administrative Kontrolle über geschützte Passwort-Tresore zu erlangen.
Die Schwachstelle erlaubt es einem Angreifer, eine speziell präparierte URL zu erstellen, die Zugriff auf die Notfallzugriffsseite von Passwordstate gewährt. Von dort aus könnten Bedrohungsakteure ihre Rechte eskalieren und in den administrativen Bereich der Plattform eindringen. Eine CVE-Kennung wurde für diese Schwachstelle bislang nicht vergeben.
Schutz der sensibelsten Zugangsdaten von Unternehmen
Click Studios, das in Australien ansässige Unternehmen hinter Passwordstate, berichtet, dass die Plattform von 29.000 Kunden und 370.000 Sicherheitsfachleuten weltweit genutzt wird. Passwordstate wurde speziell entwickelt, um kritische Unternehmenszugangsdaten zu schützen und bietet Funktionen wie Active-Directory-Integration, Passwortrotation und -zurücksetzung, Ereignisprotokollierung sowie sichere Remote-Sitzungsanmeldungen.
Am Donnerstag gab Click Studios bekannt, dass ein Update veröffentlicht wurde, das zwei Sicherheitslücken in Passwordstate schließt.
Nach Angaben des Unternehmens steht die Authentifizierungs-Bypass-Schwachstelle „im Zusammenhang mit dem Zugriff auf die Notfallzugriffsseite der Passwordstate-Produkte über eine speziell formulierte URL, die wiederum den Zugang zum Administrationsbereich ermöglichen könnte.“ Click Studios stuft die Schwachstelle als sicherheitskritisch ein. Weitere Details finden sich in der offiziellen Sicherheitswarnung.