Эксперты «Лаборатории Касперского» исследовали менеджер паролей для бизнеса компании «Пассворк» с точки зрения кибербезопасности и обнаружили множественные уязвимости разного уровня — от низкого до критического
«Лаборатория Касперского» сообщила обо всех найденных уязвимостях вендору, «Пассворк» устранила их и выпустила обновления.
Наиболее серьёзные уязвимости позволяли внешнему злоумышленнику получить контроль над учётной записью любого пользователя, в том числе администратора. Другие в той или иной степени влияли на основную функцию приложения — безопасное хранение секретов, в частности, позволяли получить к ним доступ или нарушить их доступность. По итогам исследования «Лаборатория Касперского» подала заявку на регистрацию 22 CVE в MITRE.
Подробнее об уязвимостях. Большинство найденных уязвимостей было связано с недостаточной проверкой прав пользователя или её отсутствием в определённых функциях приложения. Также эксперты «Лаборатории Касперского» обнаружили функции, содержащие уязвимости типа NoSQL-инъекция.
NoSQL-инъекции позволяли неавторизованному злоумышленнику сбросить пароль на вход в приложение любого зарегистрированного пользователя при помощи функции восстановления пароля и получить доступ к приложению от его имени, в том числе администратора. Также авторизованные пользователи могли похитить секреты и пароли других пользователей, объединённые в группу (или директорию) по принципу принадлежности к одному сервису. Чтобы получить такую информацию, они могли назначить любые права (например, чтение, запись) для чужой директории. Помимо этого, пользователи могли получить все удалённые в корзину другими пользователями директории вместе с секретами и паролями. При этом в дальнейшем их можно было использовать для атак на другие системы внутри организации.
«В условиях цифровизации и большого количества используемых внутренних и внешних сервисов бизнесу важно защищать корпоративные аккаунты своих сотрудников от несанкционированного доступа. Менеджеры паролей эффективно решают эту проблему, однако, как и любое другое ПО, они не застрахованы от возможных уязвимостей. Главное в этой ситуации — вовремя обнаружить их и устранить, чтобы быть на шаг впереди злоумышленников. Особенно, когда речь идёт о российском ПО, популярность которого растёт на фоне продолжающегося импортозамещения. Компания „Пассворк” открыта к проверкам с точки зрения безопасности и предоставляет исходный код, однако даже это не гарантирует полную защиту автоматически. Несмотря на то, что приложение существует уже почти десять лет, эксперты „Лаборатории Касперского” обнаружили серьёзные уязвимости, в том числе критического уровня. При этом „Пассворк” со своей стороны в кратчайшие сроки отреагировала на информацию об уязвимостях и обеспечила тем самым безопасность своих пользователей», — комментирует Владислав Смирнов, руководитель отдела анализа защищённости инфраструктуры «Лаборатории Касперского».
«В результате сотрудничества с „Лабораторией Касперского” мы оперативно выпустили обновления для устранения обнаруженных проблем. Также были внедрены дополнительные меры для предотвращения аналогичных ситуаций в будущем», — говорит Илья Гарах, технический директор «Пассворк».
О «Пассворк»
Приложение «Пассворк» входит в реестр отечественного ПО. Среди его пользователей — российские организации из финансовой сферы, промышленности, нефти и газа, телекоммуникаций и медиа, ритейла, транспорта, образования. Подробнее на passwork.ru.
О «Лаборатории Касперского»
«Лаборатория Касперского» — международная компания, работающая в сфере информационной безопасности и цифровой приватности с 1997 года. На сегодняшний день компания защитила более миллиарда устройств от массовых киберугроз и целенаправленных атак, а накопленные ей знания и опыт постоянно трансформируются в инновационные решения и услуги для защиты бизнеса, критически важной инфраструктуры, государственных органов и рядовых пользователей по всему миру. Обширное портфолио «Лаборатории Касперского» включает в себя передовые технологии для защиты конечных устройств, ряд специализированных продуктов и сервисов, а также кибериммунные решения для борьбы со сложными и постоянно эволюционирующими киберугрозами. Мы помогаем 220 тысячам корпоративных клиентов во всём мире защищать самое ценное для них. Подробнее на www.kaspersky.ru.
