Nhà sản xuất Passwordstate, trình quản lý mật khẩu cấp doanh nghiệp để lưu trữ thông tin xác thực đặc quyền nhất của companies’, đang kêu gọi họ nhanh chóng cài đặt bản cập nhật sửa lỗ hổng có mức độ nghiêm trọng cao mà tin tặc có thể khai thác để giành quyền truy cập quản trị vào kho tiền của họ.
Bỏ qua xác thực cho phép tin tặc tạo URL truy cập trang truy cập khẩn cấp cho Passwordstate. Từ đó, kẻ tấn công có thể chuyển sang phần quản trị của trình quản lý mật khẩu. Mã định danh CVE vẫn chưa có sẵn.
Bảo vệ doanh nghiệp’ thông tin xác thực đặc quyền nhất
Click Studios, nhà sản xuất Passwordstate có trụ sở tại Úc, cho biết trình quản lý thông tin xác thực được 29.000 khách hàng và 370.000 chuyên gia bảo mật sử dụng. Sản phẩm được thiết kế để bảo vệ các tổ chức có thông tin xác thực đặc quyền và nhạy cảm nhất. Trong số những thứ khác, nó tích hợp vào Active Directory, dịch vụ mà quản trị viên mạng Windows sử dụng để tạo, thay đổi và sửa đổi tài khoản người dùng. Nó cũng có thể được sử dụng để xử lý việc đặt lại mật khẩu, kiểm tra sự kiện và đăng nhập phiên từ xa.
Vào thứ Năm, Click Studios thông báo khách hàng rằng nó đã phát hành một bản cập nhật vá hai lỗ hổng.
Lỗ hổng bỏ qua xác thực là “liên quan đến việc truy cập trang Truy cập khẩn cấp Products’ của Passwordstate cốt lõi, bằng cách sử dụng URL được tạo cẩn thận, có thể cho phép truy cập vào phần Quản trị Passwordstate,” Click Studios nói rằng. Công ty cho biết mức độ nghiêm trọng của lỗ hổng là cao.
