Если бы пароли можно было положить в сейф из картона — некоторые админы уже бы это сделали; шутки в сторону, но пора серьёзно: у менеджера учетных данных Passwordstate обнаружена уязвимость высокой степени, и Click Studios настойчиво просит установить обновление немедленно. Да-да, тот самый софт, который хранит корпоративные «коронные драгоценности», теперь просит внимания громче, чем кофе в пятничный вечер.
Суть проста и зловеща: уязвимость позволяет обойти аутентификацию с помощью специально сформированного URL, который открывает доступ к странице «Emergency Access» Passwordstate. Оттуда злоумышленник может «перепрыгнуть» в административную часть — словом, не просто подсмотреть, а получить контроль. Пока что CVE не присвоен, но оценка — высокая, и это не случайность, а повод действовать.
Click Studios напомнила, что их продукт используется около 29 000 клиентов и примерно 370 000 специалистов по безопасности. Passwordstate глубоко интегрирован в инфраструктуры — Active Directory, управление паролями, аудит событий и удалённые сессии — поэтому компрометация тут равносильна вечеринке со светильником: вычистить последствия гораздо сложнее, чем вовремя закрыть дверь.
В свежем обновлении (версия 9.9, сборка 9972) исправлены две уязвимости: сама проблема обхода аутентификации по URL и усилены меры против Clickjacking для браузерного расширения. Деталей немного — производитель ограничился общими формулировками, и пресс-ответов пока мало. Но опыт прошлых лет напоминает: в 2021 году Click Studios уже переживали supply-chain атаку, когда обновление было использовано для распространения вредоносного кода. Тогда последствия тоже были неприятными — утечки записей паролей и волна фишинга.
Что делать прямо сейчас? Обновить Passwordstate до 9.9 build 9972 немедленно, проверить журналы доступа, уведомить команду по инцидентам и, при необходимости, инициировать ротацию наиболее критичных паролей. В мире паролей опоздать — значит дать шанс злоумышленнику выпить ваш цифровой чай. Лучше обновиться и выпить свой, спокойный, безопасный.