Click Studios hat Kunden aufgefordert, umgehend auf Passwordstate 9.9 Build 9972 zu aktualisieren. Der Patch behebt eine kritische Schwachstelle, die einen Authentifizierungs-Bypass über den Emergency-Access-Mechanismus ermöglicht und so potenziell administrativen Vollzugriff erlaubt. Eine CVE-ID ist derzeit noch ausstehend; technische Details wurden vom Hersteller nicht veröffentlicht.
Was ist betroffen und warum ist die Lücke kritisch?
Passwordstate ist ein unternehmensweiter Secrets Manager für Passwörter, API-Keys, Zertifikate und weitere sensible Daten. Die Plattform integriert sich in Active Directory, unterstützt Audit-Funktionen, Passwort-Reset und Remote-Sitzungen. Laut Click Studios wird Passwordstate von über 370 000 IT-Fachkräften in mehr als 29 000 Organisationen weltweit eingesetzt – darunter Behörden, Finanzunternehmen und Fortune-500-Konzerne. Entsprechend groß ist die potenzielle Angriffsfläche.
Patch 9.9 Build 9972: Inhalt und Auswirkung
Der neue Build umfasst zwei Fixes, von denen einer die kritische Lücke adressiert. Laut Herstellerforum kann eine speziell präparierte URL die Authentifizierung am Emergency-Access-Endpunkt umgehen und Zugriff auf die Administrationsoberfläche verschaffen. Click Studios empfiehlt eine sofortige Aktualisierung, ohne die Veröffentlichung weiterer technischer Details abzuwarten.
Temporäre Risikoreduktion bei verzögertem Update
Für Umgebungen, in denen ein sofortiges Patchen nicht möglich ist, berichtet BleepingComputer unter Verweis auf Click Studios über ein kurzfristiges Workaround: den Zugriff auf Emergency Access per IP-Allowlisting einschränken. In Passwordstate lässt sich dies unter System Settings → Allowed IP Ranges konfigurieren. Der Hersteller betont, dass dies nur eine partielle Übergangslösung ist; die Priorität bleibt das Update auf Build 9972.
Angriffsszenarien und potenzielle Folgeschäden
Ein Authentifizierungs-Bypass im Notfallzugang ist besonders brisant, da er den vorgesehenen Schutzpfad in Krisensituationen aushebelt. Gelingt der Angriff, sind Privilegieneskalation, der Zugriff auf hochsensible Secrets, das Ändern von Richtlinien sowie das Starten von Remote-Sitzungen möglich – mit der realen Gefahr von Lateral Movement in der gesamten Infrastruktur. Das Risiko steigt deutlich, wenn die Passwordstate-Oberfläche aus dem Internet erreichbar ist und keine zusätzlichen Netzwerkrestriktionen bestehen.
Sofortmaßnahmen und strategische Härtung
Unmittelbare Schritte
– Update auf 9.9 Build 9972 auf allen Instanzen priorisieren.
– Falls ein Patch-Stop besteht: IP-Allowlist für Emergency Access aktivieren und externe Erreichbarkeit minimieren.
– Protokolle prüfen auf Auffälligkeiten: ungewöhnliche Zugriffe auf Emergency Access, Änderungen an Admin-Konten, Massenexporte oder -änderungen von Secrets.
– Bei Verdacht: Rotation von privilegierten Passwörtern, API-Schlüsseln und Zertifikaten, die in Passwordstate verwaltet werden.
Langfristige Maßnahmen
– Passwordstate nicht direkt ins Internet exponieren; Netzwerksegmentierung und IP-Allowlisting für Admin-Pfade einsetzen.
– MFA für Admins und Integrationen erzwingen; Least-Privilege-Prinzip für AD-Anbindungen umsetzen.
– WAF/Reverse Proxy mit Logging und Basis-Request-Filtering vor administrative Endpunkte schalten.
– SIEM-gestützten, zentralen Audit aktivieren; Integritätsprüfungen und regelmäßige Updates aller Passwordstate-Komponenten sicherstellen.
Einordnung: Frühere Vorfälle und Lehren für die Praxis
Bereits 2021 wurde Passwordstate Ziel einer Supply-Chain-Attacke, bei der ein kompromittierter Update-Kanal eine trojanisierte Version auslieferte. Medienberichte (u. a. BleepingComputer) dokumentierten Folgeangriffe einschließlich Phishing-Kampagnen. Der Fall unterstreicht die Relevanz von mehrschichtigen Kontrollen, der Prüfung von Updates und einer schnellen Reaktionsfähigkeit auf Herstellerhinweise.
Organisationen sollten jetzt handeln: zeitnah auf Build 9972 wechseln, Übergangsmaßnahmen (IP-Allowlist, Zugangsbeschränkungen) umsetzen und forensische Prüfungen initiieren. Wer Software wie Passwordstate für zentrale Geheimnisverwaltung einsetzt, reduziert mit aktueller Patch-Compliance, Netzwerkrestriktionen, MFA und konsequentem Auditing nicht nur die Eintrittswahrscheinlichkeit, sondern begrenzt auch die Auswirkungen möglicher Kompromittierungen. Quellen: Herstellerkommunikation von Click Studios und Berichterstattung von BleepingComputer.
