Positive Technologies revela riesgos de fuga de datos en Passwork

Los expertos de PT SWARM, Alexéi Pisarenko, Alexéi Soloviov y Oleg Surnin, identificaron y ayudaron a corregir seis vulnerabilidades en el gestor de contraseñas Passwork. Estas fallas, en caso de explotación exitosa, podrían haber llevado a la pérdida de acceso a las contraseñas. Este gestor de contraseñas forma parte del registro unificado de software ruso y es utilizado por las principales empresas del país, incluidas organizaciones de los sectores bancario, de la construcción e industrial. Siguiendo la política de divulgación responsable, el proveedor fue informado sobre las amenazas detectadas y lanzó una versión actualizada del software .

Las vulnerabilidades encontradas, registradas bajo los números BDU:2024-08016 — BDU:2024-08021 , recibieron puntuaciones de entre 8.1 y 5.8 en la escala CVSS 3.1, lo que corresponde a niveles de peligrosidad de medios a altos. Su explotación exitosa podría haber llevado a fugas de datos, así como a modificaciones ilegítimas en los perfiles de los usuarios debido a la ejecución de solicitudes en segundo plano en el navegador sin el conocimiento del propietario de la cuenta. Los desarrolladores de Passwork corrigieron estas fallas en la versión 6.4.3, publicada el 14 de noviembre de 2024.

Oleg Surnin informó que la vulnerabilidad BDU:2024-08018 , que recibió una calificación de 7.6 en la escala CVSS 3.1, podría haber permitido a los atacantes acceder a archivos y directorios locales en el servidor. Esto podría haber causado la inaccesibilidad de la aplicación debido a la sobrescritura de archivos críticos. En caso de poder modificar el archivo de la base de datos de contraseñas, dependiendo de los parámetros del sistema y de los privilegios del atacante, existía el riesgo de una pérdida total de todas las contraseñas de los usuarios.

Alexéi Soloviov señaló que las vulnerabilidades BDU:2024-08021 y BDU:2024-08017 abrían la posibilidad de inyección de código JavaScript arbitrario por parte de usuarios con privilegios mínimos. En ciertas condiciones, este código podría ejecutarse en el navegador con permisos de administrador. Además, se descubrió otra vulnerabilidad , BDU:2024-08016 , cuya explotación podría realizarse a través de un enlace malicioso, lo que llevaría a la ejecución de código JavaScript en el navegador de la víctima. Como resultado de estos ataques, podrían verse comprometidas las cuentas tanto de administradores como de usuarios regulares de Passwork.