オーストラリアの開発会社 Click Studios は、認証バイパスの脆弱性が発見されたことを受け、同社の企業向けパスワード管理プラットフォーム「Passwordstate」のユーザーに対し、早急にアップデートするよう警告した。この脆弱性により、「綿密に作成された URL」だけで緊急管理アカウントにアクセスできるようになる。
Click Studioのサポートチームは同社のアナウンスボードに、「[Passwordstate]ビルド9972をリリースしました。2つのセキュリティアップデートが含まれています。お客様にはできるだけ早くアップグレードすることをお勧めします」と投稿しました。
これら 2 つのセキュリティ アップデートは、同社の変更ログに、ソフトウェアのブラウザ拡張機能に対するクリックジャッキング攻撃と「潜在的な認証バイパス」を防ぐための変更として詳細に記載されていますが、本稿執筆時点では CVE ID の割り当てが保留中でした。
Click Studiosは別のセキュリティアドバイザリページで、もう少し詳しく説明しています。「巧妙に作成されたURL」を作成することで、攻撃者はPasswordstate緊急アクセスポータルにアクセスできるようになります。このポータルは、他のアカウントがロックアウトされたり、アクセスできなくなったりした場合にソフトウェアへの侵入口を提供するために設計されています。同社のドキュメントには、「このアカウントは、利用可能なライセンスプールからライセンスを割り当てるものではありません。また、日常業務での使用を意図したものではありません。最後の手段として考えてください」と説明されています。
パスキーがパスワードに取って代わることはあるでしょうか?本当にあるのでしょうか?
続きを読む
しかし、攻撃者にとっては、これはまさに最初の手段と言えるでしょう。「巧妙に作成されたURL」とウェブブラウザさえあれば、攻撃者は緊急アクセスポータルの認証要件を回避し、Passwordstateのインストール環境への完全な管理者レベルのアクセス権を取得できます。ただし、システムに登録されているすべてのセキュリティ管理者にメールアラートが送信されるというデメリットもあります。
この脆弱性は、世界中の相当数のユーザーに影響を与えています。Click Studiosが発表した最新の統計によると、Passwordstateは29,000以上の組織で、政府、銀行・金融、保険、医療、法律、公益事業、鉱業、そしておそらく最も懸念される防衛といった分野の37万人の「セキュリティおよびIT専門家」によって使用されています。これには2016年からこの製品を使用しているタスマニア州保健省も含まれていますが、同社の顧客の多くはPasswordstateソフトウェアの使用を非公開にしています。
- テスト済み:Microsoft Recallは依然としてクレジットカードやパスワードをキャプチャ可能、これは犯罪者にとっての宝庫
- DropboxがDropbox Passwordsを廃止、ユーザーはプランBを模索
- 個人情報攻撃が急増、フィッシングサイトや情報窃盗犯が原因とされる
- Bitwarden、FOSS問題騒動後、パスワードマネージャーとSDKをGPL3に切り替え
この最新の脆弱性は、2022年にCVE-2022-3876とCVE-2022-3875、2024年にCVE-2024-39337が発見された後、Passwordstate 9のリリース以来4番目の認証バイパスの脆弱性となります。その深刻度は、当然のことながら、悪用の容易さから「高」と評価されていますが、部分的な緩和策として、Passwordstateは、管理者が緊急アクセスポータルへのアクセスをIPアドレスで制限することを推奨していますが、これは必須ではありません。まさにこのような問題が発生した場合に、その悪用を防ぐためです。
脆弱性から身を守りたい Passwordstate 9 ユーザーは、関連するクリックジャッキング修正プログラムとともにパッチを受け取るために、ビルド 9972 以降をインストールすることをお勧めします。®
