Click Studios ผู้พัฒนาโปรแกรมจัดการรหัสผ่านระดับองค์กร Passwordstate ออกคำเตือนให้ลูกค้ารีบอัปเดตแพตช์ช่องโหว่ Authentication Bypass ที่มีระดับความรุนแรงสูงโดยด่วน
Passwordstate ทำหน้าที่เป็นคลังเก็บรหัสผ่านที่ปลอดภัย ช่วยให้องค์กรสามารถจัดเก็บ, จัดระเบียบ และควบคุมการเข้าถึงรหัสผ่าน, API keys, certificates และข้อมูล credentials ประเภทอื่น ๆ ได้ผ่าน Web Interface แบบ centralized
Click Studios ระบุว่า PasswordState Password Manager ใช้งานโดยผู้เชี่ยวชาญด้านไอทีกว่า 370,000 คน จากกว่า 29,000 องค์กรทั่วโลก รวมถึงหน่วยงานรัฐบาล, สถาบันการเงิน, องค์กรระดับโลก และบริษัท Fortune 500 ในหลายอุตสาหกรรม
ในประกาศล่าสุดบนฟอรัมทางการของ Click Studios ได้แนะนำให้ผู้ใช้งานอัปเกรดเป็น Passwordstate เวอร์ชัน 9.9 Build 9972 โดยเร็วที่สุด ซึ่งถูกปล่อยออกมาในวันที่ 28 สิงหาคม 2025 พร้อมอัปเดตด้านความปลอดภัย 2 รายการ
หนึ่งในนั้นคือ ช่องโหว่ด้านความปลอดภัยที่มีระดับความรุนแรงสูง (ยังไม่มี CVE ID) ที่ทำให้ผู้โจมตีใช้ URL ที่ถูกสร้างขึ้นอย่างเจาะจงบนหน้า Emergency Access ของผลิตภัณฑ์ Passwordstate เพื่อ bypass การยืนยันตัวตน และเข้าถึง Administration section ได้
แม้ว่าบริษัทจะยังไม่ได้เปิดเผยรายละเอียดเพิ่มเติมของช่องโหว่นี้ต่อสาธารณะ แต่ Click Studios ได้จัดทำวิธีแก้ปัญหาสำหรับผู้ที่ไม่สามารถอัปเกรดได้ทันทีในอีเมลที่ส่งไปยังลูกค้า
“Click Studios ได้ทำการวิเคราะห์ และทดสอบแล้ว ยืนยันว่าช่องโหว่นี้เกิดขึ้นได้เมื่อมีการกรอก URL ที่ถูกสร้างขึ้นเป็นพิเศษขณะใช้งานหน้า Emergency Access”
“วิธีแก้ไขปัญหาชั่วคราวคือการตั้งค่า Emergency Access Allowed IP Address บน Webserver ของคุณ ภายใต้ System Settings → Allowed IP Ranges ซึ่งเป็นเพียงการแก้ไขปัญหาชั่วคราวในระยะสั้น และ Click Studios แนะนำอย่างยิ่งให้ลูกค้าทุกคนอัปเกรดเป็น Passwordstate Build 9972 โดยเร็วที่สุด”
เมื่อ 4 ปีก่อน Click Studios เคยแจ้งเตือนลูกค้าว่า ผู้โจมตีเจาะกลไกการอัปเดตของ Passwordstate สำเร็จ และใช้มันแพร่กระจายมัลแวร์ขโมยข้อมูลที่ชื่อ Moserpass ไปยังผู้ใช้จำนวนหนึ่งที่ไม่มีการเปิดเผยในเดือนเมษายน 2021
ต่อมาไม่นาน บริษัทก็ยืนยันว่า ข้อมูลรหัสผ่านของผู้ใช้งานบางส่วนถูกขโมยไปแล้ว และผู้ใช้ที่เหลือก็ถูกกำหนดเป้าหมายในการโจมตีแบบฟิชชิ่งด้วยมัลแวร์ MoserPass เวอร์ชันอัปเดต
ในตอนนั้น Click Studios ได้แนะนำลูกค้าที่ได้รับผลกระทบในเดือนเมษายน 2021 ให้รีเซ็ตรหัสผ่านทั้งหมดที่เก็บไว้ในฐานข้อมูล
ที่มา : bleepingcomputer
You must be logged in to post a comment.