Positive Technologies
  • О компании
  • Новости
  • В российском менеджере паролей Passwork исправлены уязвимости, выявленные экспертами Positive Technologies
Новости

В российском менеджере паролей Passwork исправлены уязвимости, выявленные экспертами Positive Technologies

Эксперты PT SWARM Алексей Писаренко, Алексей Соловьев и Олег Сурнин помогли устранить шесть уязвимостей в парольном менеджере Passwork, которые в случае их успешной эксплуатации могли привести к потере доступа к паролям. Программа Passwork входит в единый реестр российского ПО, ее используют крупнейшие компании России банковской, строительной, промышленной и других отраслей. Вендор был уведомлен об угрозе в рамках политики ответственного разглашения и выпустил обновление ПО.

Уязвимости BDU:2024-08016 — BDU:2024-08021 получили оценки от 8,1 до 5,8 балллов по шкале CVSS 3.1, что соответствует среднему и высокому уровнями опасности. В случае если нарушителям удалось бы успешно проэксплуатировать уязвимости, атаки могли потенциально привести к утечке информации, а также к нелегитимным изменениям данных профиля в результате выполнения произвольных фоновых (то есть без взаимодействия с пользователем) запросов в браузере жертвы. Недостатки были устранены разработчиками Passwork в версии 6.4.3, опубликованной 14 ноября 2024 года.

«Эксплуатация BDU:2024-08018 (оценка 7,6 балла по шкале CVSS 3.1, уязвимость типа "выход за пределы назначенного каталога"1) могла бы позволить злоумышленнику получить доступ к локальным файлам и каталогам на сервере. Такие действия могли бы привести к недоступности приложения Passwork за счет перезаписи файлов. Кроме того, если бы нарушитель смог переписать файл базы данных с паролями (это зависит от параметров самого приложения и полученных атакующим привилегий), возник бы риск утраты всех пар...

Олег Сурнин
Олег СурнинРуководитель группы исследований безопасности мобильных приложений, Positive Technologies

По словам Алексея Соловьева, эксперты обнаружили несколько сценариев эксплуатации уязвимостей BDU:2024-08021 и BDU:2024-08017, при которых злоумышленник, имея минимальные привилегии в системе, мог бы внедрить произвольный код на языке JavaScript. После совершения определенных действий атакующим такой JavaScript-код мог быть выполнен в браузере пользователя, в том числе и от имени администратора. Кроме того, был найден сценарий эксплуатации уязвимости BDU:2024-08016, при котором можно было бы выполнить произвольный код JavaScript в браузере пользователя, если бы он перешел по вредоносной ссылке. В ходе таких атак могли быть скомпрометированы аккаунты как администратора Passwork, так и пользователя без привилегий администратора.

Для обнаружения веб-уязвимостей эффективно применение статического и динамического анализаторов кода, таких как PT Application Inspector и PT BlackBox. Для блокировки попыток эксплуатации уязвимостей стоит использовать межсетевые экраны уровня веб-приложений, например PT Application Firewall (у которого также есть облачная версия — PT Cloud Application Firewall). Вовремя выявить попытки эксплуатации уязвимостей внутри сетевого контура компании помогут продукты классов NTA, NDR, такие как PT Network Attack Discovery, и средства анализа сетевого трафика, например PT NGFW. Так, в PT NAD и PT NGFW уже добавлены правила детектирования уязвимостей BDU:2024-08019 и BDU:2024-08018.

  1. Выход за пределы назначенного каталога (Path Traversal) — уязвимость, которая позволяет злоумышленнику получить доступ к файлам и каталогам, находящимся за пределами предполагаемого корневого каталога веб-сервера.