エンタープライズ向けパスワードマネージャー「Passwordstate」を提供するClick Studiosは、重大度の高い認証バイパス脆弱性について、できるだけ早くパッチを適用するよう顧客に警告しました。
Passwordstateは、安全なパスワード保管庫として機能し、組織がパスワード、APIキー、証明書、その他さまざまな認証情報を集中管理型のWebインターフェースを通じて保存・整理・アクセス制御できるようにします。
Click Studiosによると、Passwordstateパスワードマネージャーは、世界中の29,000社、37万人以上のITプロフェッショナルに利用されており、政府機関、金融機関、グローバル企業、フォーチュン500企業など、さまざまな業界セクターで導入されています。
Click Studiosは公式フォーラムでの新たな発表で、ユーザーに対し「できるだけ早く」Passwordstate 9.9 Build 9972へのアップグレードを強く推奨しました。このバージョンは本日早くに2件のセキュリティアップデートとともにリリースされています。
そのうちの1つは、攻撃者がPasswordstate製品のコアとなるEmergency Accessページに対して細工されたURLを使用することで、認証をバイパスしPasswordstate管理セクションにアクセスできてしまう、重大度の高いセキュリティ脆弱性(CVE IDなし)です。
この脆弱性に関する追加情報はまだ公開されていませんが、Click Studiosはアップグレードがすぐにできない顧客向けに、BleepingComputerが確認したメールでワークアラウンド(回避策)を提供しています。
「Click Studiosは調査を行い、テストの結果、Emergency Accessウェブページ上で細工されたURLが入力された場合に脆弱性が存在することを確認しました」と同社は述べています。
「この問題への部分的な回避策は、System Settings→Allowed IP RangesでWebサーバーのEmergency Access Allowed IP Addressを設定することです。これは短期的かつ部分的な修正であり、Click Studiosはすべての顧客に対し、できるだけ早くPasswordstate Build 9972へアップグレードすることを強く推奨します。」
4年前、Click Studiosは攻撃者がパスワードマネージャーのアップデート機構を侵害し、Moserpassと呼ばれる情報窃取型マルウェアを2021年4月に一部ユーザーへ配信したことを顧客に通知したこともあります。
数日後、同社は一部の感染した顧客が「Passwordstateに保存していたパスワード記録を収集された可能性がある」と認め、他のユーザーも更新版Moserpassマルウェアによるフィッシング攻撃の標的となっていたことを明らかにしました。
当時、Click Studiosは2021年4月のサプライチェーン攻撃で感染した顧客に対し、データベースに保存されているすべてのパスワードのリセットを推奨していました。
