Click Studios закликала всіх клієнтів негайно встановити Passwordstate 9.9 Build 9972. Оновлення усуває критичну вразливість обходу автентифікації, яка потенційно дозволяє отримати адміністративний доступ через механізм Emergency Access. Ідентифікатор CVE ще не присвоєний, технічні деталі не розкриваються.
Що сталося і чому це важливо для безпеки
Passwordstate — це корпоративний менеджер секретів для централізованого зберігання паролів, API‑ключів, сертифікатів та іншої конфіденційної інформації. Рішення інтегрується з Active Directory, підтримує аудит, автоматизований скидання паролів та віддалені сесії. За даними Click Studios, продуктом користуються понад 370 000 ІТ‑фахівців у 29 000+ організаціях по всьому світу, включаючи державний сектор, фінансові компанії та підприємства з Fortune 500. Така широка база встановлень означає значну площу потенційної атаки.
Деталі оновлення: 9.9 Build 9972
Свіжий реліз містить два виправлення, одне з яких закриває критичний дефект. Згідно з офіційними повідомленнями, зловмисник може за допомогою спеціально сформованого URL обійти автентифікацію на сторінці Emergency Access і потрапити до адмін‑панелі. Рекомендація виробника — оновитися без зволікань, не очікуючи розширених технічних пояснень.
Тимчасове пом’якшення ризиків, якщо оновлення неможливе відразу
BleepingComputer з посиланням на Click Studios повідомляє про приватне тимчасове рішення для тих, хто не може оперативно оновитися: обмежити доступ до Emergency Access за IP. Це робиться через System Settings → Allowed IP Ranges, де слід визначити дозволені адреси для веб‑сервера. Компанія підкреслює, що це лише короткостроковий і частковий захід, а пріоритетом залишається перехід на Build 9972.
Потенційні сценарії зловживання та вплив на інфраструктуру
Компонент Emergency Access призначений для доступу в кризових ситуаціях, тож його компрометація особливо небезпечна. У разі успішної експлуатації нападник може ескалувати привілеї, витягнути секрети, змінити політики доступу, ініціювати віддалені сесії та розпочати lateral movement всередині мережі. Ризики зростають, якщо інтерфейс Passwordstate доступний напряму з Інтернету та не застосовано мережевих обмежень.
Рекомендації з реагування: що зробити зараз і надалі
Негайні дії
- Встановити 9.9 Build 9972 на всі інсталяції Passwordstate.
- Тимчасово ввімкнути IP allowlist для Emergency Access і обмежити зовнішню доступність адмін‑панелі.
- Перевірити журнали: звернення до Emergency Access, зміни адмін‑облікових записів, масові операції з секретами, незвичні IP/географію.
- За найменшої підозри — провести ротацію високопривілейованих паролів, API‑ключів і сертифікатів, що зберігаються в Passwordstate.
Стратегічні заходи
- Мінімізувати експонування Passwordstate в Інтернет: сегментація мережі, IP allowlisting для адміністраторських маршрутів, доступ через VPN/Zero Trust.
- Увімкнути MFA для адміністраторів і інтеграцій; дотримуватися принципу найменших привілеїв у зв’язці з Active Directory.
- Використовувати WAF або реверс‑проксі з журналюванням і базовою фільтрацією підозрілих запитів до адмін‑ендпоінтів.
- Налаштувати централізований аудит і сповіщення в SIEM, регулярно перевіряти цілісність та оновлювати всі компоненти Passwordstate.
Контекст і уроки: інцидент 2021 року
У 2021‑му екосистема Passwordstate вже зазнала supply‑chain атаки: було скомпрометовано канал оновлень і доставлено шкідливий білд, що призвів до підміни компонентів (зокрема Moserware.SecureString) і подальшого викрадення даних. Частина жертв згодом стала мішенню фішингових кампаній. Цей випадок підкреслює важливість багаторівневого захисту, контролю оновлень і оперативного реагування на сповіщення постачальника.
Менеджери паролів є критичною опорою корпоративної безпеки, тож оперативність тут вирішальна. Негайно встановіть Passwordstate 9.9 Build 9972, тимчасово обмежте доступ до Emergency Access за IP, перевірте журнали та виконайте ротацію секретів у разі підозри. Підсилюйте захист мережевою сегментацією, MFA, WAF/реверс‑проксі та постійним аудитом. Такий підхід знижує ймовірність компрометації й обмежує наслідки навіть у разі успішної атаки.
