MKD-CIRT National Centre for Computer Incident Response
Функцијата за автоматско пополнување на ингеренциите на Bitwarden содржи ризично однесување што може да дозволи малициозните iframes вградени во доверливи веб-сајтови да ги украдат ингеренциите на луѓето и да ги испратат до напаѓачот.
Проблемот беше пријавен од страна на аналитичарите на Flashpoint, кои изјавија дека Bitwarden првпат дознал за проблемот во 2018 година, но избрал да дозволи да се сместат легитимни сајтови кои користат iframes.
Flashpoint изјави дека сè уште има веб-сајтови кои ги исполнуваат барањата каде мотивираните хакери можат да се обидат да ги искористат овие недостатоци.
Bitwarden е популарна услуга за управување со лозинки со отворен код со екстензија на веб-прелистувач што складира кориснички имиња и лозинки на сметки во шифриран сеф.
Кога неговите корисници посетуваат веб-сајт, екстензијата открива дали има зачувано најавување за тој домен и нуди да ги пополни ингеренциите. Ако опцијата за автоматско пополнување е овозможена, таа автоматски ги пополнува при вчитувањето на страницата без корисникот да мора да направи нешто.
Додека го анализираа Bitwarden, истражувачите на Flashpoint открија дека екстензијата автоматски ги пополнува формите дефинирани во вградените iframes, дури и оние од надворешни домени.
Flashpoint истражуваше колку често iframes се вградени на страниците за најавување на веб-сајтовите со голем сообраќај и објави дека бројот на ризични случаи е многу мал, што значително го намалува ризикот.
Сепак, втор проблем откриен од страна на Flashpoint додека го истражува проблемот со iframes е дека Bitwarden исто така автоматски ќе ги пополнува ингеренциите на поддомени на основниот домен што одговараат на најавување.
Ова значи дека напаѓачот што хостира фишинг страница под поддомен што се совпаѓа со складирана најава за даден основен домен, ќе ги сними ингеренциите кога жртвата ќе ја посети страницата доколку е овозможено автоматско пополнување.
„Некои даватели на хостинг содржини дозволуваат хостирање на произволна содржина под поддомен на нивниот официјален домен, кој исто така им служи на нивната страница за најавување“, објаснува Flashpoint во извештајот.
„Како пример, доколку компанијата има страница за најавување на https://logins.company.tld и им дозволува на корисниците да сервираат содржина под https://<clientname>.company.tld, овие корисници можат да украдат ингеренции од Bitwarden екстензии.”
Регистрирањето на поддомен што одговара на основниот домен на легитимен веб-сајт не е секогаш можно, така што сериозноста на проблемот е намалена.
Сепак, некои услуги им дозволуваат на корисниците да креираат поддомени за да бидат хостирани содржини, како што се бесплатните услуги за хостирање, а нападот е сè уште можен преку крадење на поддомени.
Bitwarden нагласува дека функцијата за автоматско пополнување е потенцијален ризик, па дури и вклучува истакнато предупредување во својата документација, конкретно споменувајќи ја веројатноста за компромитирани страници да ја злоупотребат функцијата за автоматско пополнување за да украдат ингеренции.
Овој ризик првпат беше откриен во безбедносната проценка од ноември 2018 година, така што Bitwarden веќе некое време е свесен за безбедносниот проблем.
Меѓутоа, бидејќи корисниците треба да се логираат на услуги користејќи вградени iframes од надворешни домени, инженерите на Bitwarden одлучија да го задржат однесувањето непроменето и да додадат предупредување во документацијата на софтверот и соодветното мени за поставки на екстензијата.
Одговарајќи на вториот извештај на Flashpoint за управувањето со URI и како автоматското пополнување ги третира поддомените, Bitwarden вети дека ќе го блокира автоматското пополнување на пријавената околина за хостирање во идното ажурирање, но не планира да ја промени функционалноста на iframe.
Кога BleepingComputer контактираше со Bitwarden за безбедносниот ризик, тие потврдија дека знаат за овој проблем од 2018 година, но не ја промениле функционалноста бидејќи формуларите за најавување на легитимните сајтови користат iframes.
„Bitwarden прифаќа автоматско пополнување на iframe бидејќи многу популарни веб-сајтови го користат овој модел, на пример, icloud.com користи iframe од apple.com“, изјави Bitwarden за BleepingComputer.
„Значи, постојат совршено валидни случаи на употреба каде што формуларите за најавување се во iframe под различен домен“.
„Функцијата опишана за автоматско пополнување во објавата на блогот НЕ е стандардно овозможена во Bitwarden и има предупредувачка порака за таа функција токму поради оваа причина во производот и во документацијата за помош https://bitwarden.com/help/auto-fill-browser/#on-page-load.”
Извор: BleepingComputer
