Passwordstate Passwort-Manager per Lieferkettenangriff gehackt (April 2021)

[English]Unschöne Nachricht für Nutzer des Passwort-Manager Passwordstate. Click Studios, der australische Anbieter hinter dem Passwort-Manager hat bekannt gegeben, Opfer eines Lieferkettenangriffs geworden zu sein. Man sollte davon ausgehen, dass seine per Passwordstate Passwort-Manager gespeicherten Kennwörter abgeflossen sind.

Passwordstate ist eine On-Premises-Passwortverwaltungslösung, und wird nach eigenen Angaben des Unternehmens Click Studios von über 370.000 Sicherheits- und IT-Experten in 29.000 Unternehmen weltweit eingesetzt. Ich habe mal kurz eine Suchmaschine befragt: Im Sysadmin-Blog wurde Passwordstate als Alternative für Keepass vorgestellt, und heise stellt das Produkt hier als "Web-basiertes Tool zum Speichern, Verwalten und Austauschen von Passwörtern im Netzwerk" vor. Im Chrome-Webstore gibt es diese Browser-Erweiterung für Passwordstate.

Lieferkettenangriff auf den Anbieter

Nun musste der Anbieter Click Studios einen Lieferkettenangriff (Supply-Chain-Attack) auf seine IT zugeben. Ich bin über den nachfolgenden Tweet der Kollegen von Bleeping Computer auf das Thema gestoßen.

Click Studio hat wohl eine E-Mail mit dem Titel "Confirmation of Malformed Files and Essential Course of Action" an Kunden rund geschickt, die von der polnischen Webseite Niebezpiecznik auf Twitter veröffentlicht wurde.

Mail von Click Studio an Passwordstate-Nutzer

Der Anbieter informiert zum 22. April 2021 seine Kunden über eine mögliche Integritätsverletzung des Passwordstate-Passwort-Managers. Obiges Bild enthält den Text der Mail als Screenshot – hier ein Auszug:

Confirmation of Malformed Files and Essential Course of Action

Initial analysis indicates that bad actor using sophisticated techniques had compromised the In-Place Upgrade functionality.

Any in-Place Upgrade performed between 20th April 8:33 PM UTC and 22nd April 0:30 AM UTC had the potential to download a malformed Passwordstate_ipgrade.zip [..] sourced from a download network not controlled by Click Studios […]

Einem Angreifer sei es gelungen, in einer ausgefuchsten Aktion die Inplace-Upgrade-Funktion des Produkts zu kompromittieren – das ist nichts anderes als die Umschreibung eines Lieferkettenangriffs, bei dem Malware in den Update-Prozess eines Produkts eingeschleust werden konnte. Und am 20. April 2021 gab es wohl ein Update für Passwordstate 9.1 – Build 9117.

Updates zwischen 20. und 22. April 2021 betroffen

Kunden, die die Inplace-Upgrade-Funktion des Produkts zwischen dem  20. und 22. April 2021 genutzt haben, sind potentiell betroffen und könnten die mit Malware infizierte datei upgrade_service_upgrade.zip aus dem CDN der Angreifer erhalten haben. Denn über einen Zeitraum von 28 Stunden erfolgten die Downloads nicht mehr von den Update-Servern des Anbieters Click Studio.

Dem Angreifer ist es, laut J. A. Guerrero-Saade, Principal Threat Researcher bei SentinelOne, gelungen, dem ursprünglichen Code von Passwordstate einen 'Loader'-Codeabschnitt hinzuzufügen, der lediglich 4 KB einer älteren Version enthält. Der Sicherheitsforscher hat seine Kurzanalyse in einer Serie von Tweets veröffentlicht. Der Loader hat  eine Funktionalität, um weitere Payloads vom Kontroll-Server (C2) zu beziehen. Es gibt auch Code, um die globalen Einstellungen des 'PasswordState'-Datenspeichers zu parsen (Proxy UserName/Password, etc.).

Also ein absoluter GAU, denn die Moserware getaufte Malware sammelt Systeminformationen und Passwordstate-Daten, um diese an die von Angreifern kontrollierte Server zu senden. Die CDN-Server, die bei dem Angriff verwendet wurden, sind seit dem 22. April 7:00 Uhr UTC abgeschaltet und nicht mehr erreichbar.

Click Studio hatte einen Hotfix freigegeben, um die Infektion über Checksummen zu erkennen. Die Kollegen von Bleeping Computer haben die Download-Adresse, die auch in obigem Screenshot zu sehen ist, zwar verlinkt, die Seite ist aber nicht mehr erreichbar.

Click Studios rät Nutzern, deren Client in der oben angegebenen Zeit aktualisiert wurde, alle Passwörter in der Passwordstate-Datenbank zurückzusetzen. Das Zurücksetzen der Passwörter sollte folgendermaßen priorisiert werden:

• alle Anmeldedaten für internet-exponierte Systeme (Firewalls, VPN, externe Websites usw.)
• alle Zugangsdaten für die interne Infrastruktur
• alle übrigen Zugangsdaten

Die Kollegen von Bleeping Computer zitieren hier CSIS Security Group A/S, die von einer großen Anzahl Betroffener ausgehen. Das alles weckt bei mir Erinnerungen an den SolarWinds Orion-Fall oder den Codedov-Angriff. Im Artikel zum Codedov-Angriff habe ich inzwischen ein Statement von Sicherheitsanbieter CheckPoint nachgetragen. Die sehen u.a. die schnellen Release-Zyklen, die typisch für die moderne DevOps-Anwendungsentwicklung und -bereitstellung sind, als Ursache für die schnelle Folge der 2021 bekannt gewordenen Lieferkettenangriffe. Die Sicherheitsherausforderungen, die diese DevOps-Anwendungsentwicklung können wohl von den Firmen nicht gemeistert werden. Warum fällt mir in diesem Zusammenhang nur Microsoft und seine schnellen Update-Zyklen bei Produkten ein? Abschließende Frage: Jemand von dem Passwordstate-Angriff betroffen?