В российском менеджере паролей Passwork исправлены уязвимости, выявленные экспертами Positive Technologies

Эксперты PT SWARM Алексей Писаренко, Алексей Соловьев и Олег Сурнин помогли устранить шесть уязвимостей в парольном менеджере Passwork, которые в случае их успешной эксплуатации могли привести к потере доступа к паролям. Программа Passwork входит в единый реестр российского ПО, ее используют крупнейшие компании России банковской, строительной, промышленной и других отраслей. Вендор был уведомлен об угрозе в рамках политики ответственного разглашения и выпустил обновление ПО.

Уязвимости BDU:2024-08016 — BDU:2024-08021 получили оценки от 8,1 до 5,8 балллов по шкале CVSS 3.1, что соответствует среднему и высокому уровнями опасности. В случае если нарушителям удалось бы успешно проэксплуатировать уязвимости, атаки могли потенциально привести к утечке информации, а также к нелегитимным изменениям данных профиля в результате выполнения произвольных фоновых (то есть без взаимодействия с пользователем) запросов в браузере жертвы. Недостатки были устранены разработчиками Passwork в версии 6.4.3, опубликованной 14 ноября 2024 года.

«Эксплуатация BDU:2024-08018 (оценка 7,6 балла по шкале CVSS 3.1, уязвимость типа «выход за пределы назначенного каталога»[1]) могла бы позволить злоумышленнику получить доступ к локальным файлам и каталогам на сервере. Такие действия могли бы привести к недоступности приложения Passwork за счет перезаписи файлов. Кроме того, если бы нарушитель смог переписать файл базы данных с паролями (это зависит от параметров самого приложения и полученных атакующим привилегий), возник бы риск утраты всех паролей», — рассказал Олег Сурнин, руководитель группы исследований безопасности мобильных приложений, Positive Technologies.

По словам Алексея Соловьева, эксперты обнаружили несколько сценариев эксплуатации уязвимостей BDU:2024-08021 и BDU:2024-08017, при которых злоумышленник, имея минимальные привилегии в системе, мог бы внедрить произвольный код на языке JavaScript. После совершения определенных действий атакующим такой JavaScript-код мог быть выполнен в браузере пользователя, в том числе и от имени администратора. Кроме того, был найден сценарий эксплуатации уязвимости BDU:2024-08016, при котором можно было бы выполнить произвольный код JavaScript в браузере пользователя, если бы он перешел по вредоносной ссылке. В ходе таких атак могли быть скомпрометированы аккаунты как администратора Passwork, так и пользователя без привилегий администратора.

[1] Выход за пределы назначенного каталога (Path Traversal) — уязвимость, которая позволяет злоумышленнику получить доступ к файлам и каталогам, находящимся за пределами предполагаемого корневого каталога веб-сервера.