Das Bundesamt für Informationssicherheit (BSI) hat in Zusammenarbeit mit der Münchner Firma MGM Security Partners eine eingehende Überprüfung von Passwort-Managern vorgenommen. Im Rahmen des Projekts zur Codeanalyse von Open-Source-Software, bekannt unter dem Namen Caos 3.0, wurden zwei Passwort-Manager auf ihre Sicherheitslücken untersucht.
Schwachstellen bei Vaultwarden entdeckt
Insbesondere bei Vaultwarden wurden die Fachleute fündig. Sie identifizierten zwei Sicherheitslücken die als hoch eingestuft wurden. Vaultwarden bietet eine Alternative zu Bitwarden. Durch die Implementierung in Rust ist Vaultwarden bekannt für seine Schnelligkeit und Ressourcenschonung.
Der Ergebnisbericht von MGM, datiert auf den 11. Juni, wurde am Montag vom BSI veröffentlicht. In der inspizierten Version der Vaultwarden-Serveranwendung stellten die Experten Sicherheitslücken mit mittlerer und hoher Kritikalität fest. Diese ermöglichen es Angreifern gezielt auf Nutzer und die Anwendung zuzugreifen.
Fehlende Sicherheitsvorkehrungen
In den Berichten wurde festgestellt. Dass Vaultwarden keinen Offboarding-Prozess für austretende Mitglieder eines Unternehmens oder einer Behörde implementiert hat. Dies führt dazu, dass die Master-Schlüssel die zur Verwendung den Datenzugriff nötig sind, nicht ausgetauscht werden. Der Zugang zu den Daten bleibt dadurch ebenfalls der Person erhalten die nicht weiterhin Teil der Organisation ist.
Ein weiteres Problem ergibt sich durch eine zusätzliche Schwachstelle. Diese ermöglicht unberechtigten Zugriff auf die verschlüsselten Daten anderer Organisationen. In Kombination mit der vorherigen Sicherheitslücke haben die Sicherheitsforscher die gemeinsame CVE-ID CVE-2024-39925 beantragt und erhalten.
Kritische Fehler im Notfallzugriff
Ein weiterer Mangel betrifft das Ändern von Metadaten die mit einem Notfallzugriff verbunden sind. Hierbei wird die Berechtigung des Nutzers nicht überprüft. Ein Angreifer könnte hierdurch in den Besitz von Daten mit einer höheren Zugriffsstufe gelangen und die Wartezeit festlegen die standardmäßig auf 7 Tage eingestellt ist.
Die Prüfer bemerkten auch, dass das Admin-Dashboard anfällig für HTML-Injection-Angriffe ist. Das Einfügen von HTML-Tags könnte die Optik der Seite manipulieren und bösartige Links einfügen. Theoretisch wäre es auch möglich Scripts auszuführen.
Behebung der Sicherheitslücken
Die Untersuchungen fanden zwischen Februar & Mai statt. Die betroffene Version war 1.30.3. Mit dem Update auf Vaultwarden-Version 1.32.0 im August 2024 wurden die Schwachstellen CVE-2024-39924, CVE-2024-39925 und CVE-2024-39926 behoben. Administratoren wird geraten; ein Update durchzuführen. Konkrete Risikobewertungen und Auflistungen betroffener Produktversionen sind im Bericht jedoch nicht enthalten.
Keine schwerwiegenden Lücken bei KeePass
Bei der Analyse der Software KeePass war die Lage entspannter. In der Version 2.56 wurden nur mehrere niedrig eingestufte Schwachstellen festgestellt. Die globale Auto-Type-Funktion könnte missbraucht werden um Benutzernamen und Passwörter auf bösartigen Webseiten zu stehlen.
Zudem wird beim Import über Spamex die Validierung des SSL-Zertifikats umgangen. Theoretisch wäre somit eine Man-in-the-Middle-Attacke möglich. Einige Teile der Anwendung erscheinen unordentlich was auf zukünftige Lücken möglicherweise negativ Einfluss haben könnte.
Kommentare
: Ziel der Untersuchung
Das Caos-Projekt besteht seit 2021. Ziel ist die Prüfung der Sicherheit populärer Open-Source-Software. Die Initiatoren unterstützen die verantwortlichen Teams beim Schreiben sicherer Codes. Entdeckte Schwachstellen werden im Rahmen des Responsible-Disclosure-Verfahrens den Entwicklern zuvor mitgeteilt. Bereits untersuchtes Material umfasst ebenfalls Videokonferenz-Tools wie Jitsi und BigBlueButton und auch soziale Plattformen wie Mastodon und Matrix.