Das Bundesamt für Informationssicherheit (BSI) hat zusammen mit der Münchner Firma MGM Security Partners zwei Passwort-Manager im Rahmen des Projekts zur Codeanalyse von Open-Source-Software (Caos 3.0) auf mögliche Mängel überprüft. Die Tester wurden dabei vor allem bei Vaultwarden fündig. Bei der Lösung zum Speichern von Passwörtern identifizierten die Experten zwei Sicherheitslücken und stuften sie als "hoch" ein. Die Untersuchungen, die zwischen Februar und Mai stattfanden, bezogen sich auf die Version 1.30.3. Mit der Version 1.32.0 vom 11. August behoben die Entwickler auf Basis der Hinweise die wichtigsten Bugs. Administratoren sollten daher ein entsprechendes Update durchführen.
Anzeige
Vaultwarden unterstützt das Frontend und die Anwendungen der Alternative Bitwarden, gilt durch eine Implementation in Rust aber als schneller und ressourcensparender. Eine direkte Verbindung zwischen beiden Projekten gibt es nicht. Der Ergebnisbericht von MGM stammt vom 11. Juni, das BSI hat ihn aber erst am Montag veröffentlicht. Die Vaultwarden-Serveranwendung weist demnach in der inspizierten Version insbesondere zwei Sicherheitslücken mittlerer beziehungsweise hoher Kritikalität auf, mit denen ein Angreifer gezielt Nutzer und die Anwendung kompromittieren kann.
"Vaultwarden sieht keinen Offboarding-Prozess für Mitglieder vor", die eine Organisation wie ein Unternehmen oder eine Behörde verlassen, schreiben die Autoren. "Das bedeutet, dass die für den Datenzugriff notwendigen Master-Schlüssel in diesem Fall nicht ausgetauscht werden." Folglich besitze die ausscheidende Person, der eigentlich der Zugang entzogen werden sollte, weiterhin den kryptografischen Schlüssel zu den Daten der Organisation. In Kombination mit einer weiteren Schwachstelle, über die unberechtigt auf verschlüsselte Daten anderer Einrichtungen zugegriffen werden könne, behalte das ehemalige Mitglied so weiterhin unberechtigten Zugriff auf alle – auch später erzeugten – Geheimnisse der entsprechenden Organisation im Klartext.
Zudem werde beim Ändern der Metadaten eines eingerichteten Notfallzugriffs die Berechtigung des entsprechend ausgerüsteten Nutzers nicht überprüft, erklären die Tester. Über den Endpunkt könnten die Bedingungen für das Notfallszenario einschließlich der Zugriffsebene und der Wartezeit nachträglich geändert werden. Ein Angreifer, dem ein Admin auf diesem Wege Zugriff auf ein Konto gewährt habe, wäre damit in der Lage, auf die Daten des Accounts mit einer höheren Zugriffsstufe zugreifen. Ferner könnte er die durch den Besitzer festgelegte Wartezeit, die standardmäßig 7 Tage beträgt, beliebig verkürzen.
"Das Admin-Dashboard ist anfällig für HTML-Injection-Angriffe", haben die Prüfer zudem entdeckt. Durch das Einfügen von HTML-Tags sei es möglich, die Optik und die Inhalte der Seite zu verändern und beispielsweise Links zu bösartigen Seiten einzubetten. Unter Umständen ließen sich auch Skripte ausführen. Für die erwähnten Schwachstellen mittlerer beziehungsweise hoher Kritikalität beantragten die Experten Sicherheitshinweise als CVEs (Common Vulnerabilites and Exposures). Behoben sind seit August CVE-2024-39924 via Patch #4715, CVE-2024-39925 mit #4837 und CVE-2024-39926 per #4737. Bewertungen oder Einträge nach Common Vulnerability Scoring System (CVSS) und Common Platform Enumeration (CPE) fehlen.
Anzeige
Bei der ebenfalls analysierten Lösung KeePass stießen die Kontrolleure in Version 2.56 (aktuell ist 2.57.1) nur auf mehrere als niedrig eingestufte Schwachstellen: Das globale Auto-Type-Feature erlaubt es demnach, automatisch den Benutzernamen und das Kennwort eines beliebigen Eintrags in eine Webseite einzugeben, falls der Titel der Homepage den des KeePass-Eintrags an einer beliebigen Stelle enthält. Diese Funktion könnte von bösartigen Seitenbetreibern dazu missbraucht werden, Passwörter anderer Einträge abzugreifen. Zudem werde beim Datenimport über Spamex die Validierung des SSL-Zertifikats übersprungen. Dadurch sei es einem Angreifer theoretisch möglich, eine Man-in-the-Middle-Attacke durchzuführen. Durch eine große Menge an Copy-Paste Code-Duplizierungen wirkten Teile der Anwendung auch "recht unaufgeräumt", was eine effektive Reaktion auf künftige Lücken erschweren dürfte.
Das Caos-Kooperationsprojekt läuft seit 2021. Ziel ist es, die Sicherheit beliebter Open-Source-Software zu prüfen und die zuständigen Teams beim Schreiben sicheren Codes zu unterstützen. Entdeckte umfänglichere Schwachstellen teilen die Macher den Entwicklern im Responsible-Disclosure-Verfahren vorab mit. Im Rahmen der Initiative untersuchten BSI und MGM etwa auch bereits die Videokonferenz-Werkzeuge Jitsi und BigBlueButton sowie Mastodon und Matrix.
(
Kommentare