AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Vulnerabilidades

**Grave vulnerabilidad de bypass de autenticación en Passwordstate expone a empresas a compromisos críticos**

admin

### Introducción

Click Studios, la compañía desarrolladora del gestor de contraseñas empresarial Passwordstate, ha alertado recientemente sobre una vulnerabilidad crítica que permite el bypass de los mecanismos de autenticación. Esta brecha, clasificada de alta severidad, pone en riesgo la confidencialidad de credenciales corporativas y la integridad de infraestructuras TI, especialmente en entornos donde Passwordstate es clave para la gestión de accesos privilegiados. El incidente subraya la importancia de la actualización inmediata y refuerza la necesidad de una vigilancia proactiva en la seguridad de las soluciones de gestión de contraseñas.

### Contexto del Incidente

Passwordstate es ampliamente utilizado por medianas y grandes organizaciones para almacenar, gestionar y compartir contraseñas de forma segura entre equipos y departamentos. El producto está enfocado a entornos corporativos que requieren el cumplimiento de normativas como GDPR y NIS2, lo que hace que cualquier vulnerabilidad en este software tenga una repercusión potencialmente devastadora.

El aviso de Click Studios llega en un momento en el que el sector ha sido testigo de varios incidentes relacionados con la seguridad de gestores de contraseñas, lo que incrementa la presión sobre los responsables de seguridad para asegurar que la superficie de ataque asociada a estos sistemas permanezca bajo control.

### Detalles Técnicos

La vulnerabilidad, identificada como **CVE-2024-28995**, afecta a las versiones de Passwordstate previas a la **Build 9700**. Se trata de un fallo de bypass de autenticación que permite a un atacante remoto eludir los controles de acceso sin necesidad de credenciales válidas. El vector de ataque principal reside en la manipulación de los parámetros de la petición HTTP hacia los endpoints de autenticación del portal web de Passwordstate.

Según el análisis preliminar, el fallo se encuadra dentro de la técnica **T1078 (Valid Accounts)** del framework MITRE ATT&CK, ya que facilita el acceso inicial a través de la obtención no autorizada de sesiones autenticadas. Los indicadores de compromiso (IoC) incluyen patrones de requests atípicas a rutas `/login` y `/api/auth`, así como la generación inusual de tokens de sesión desde direcciones IP externas a la organización.

Se ha confirmado que existen **exploits públicos** para esta vulnerabilidad, algunos ya integrados en frameworks como **Metasploit**, lo que acelera el ciclo de explotación y aumenta el riesgo de ataques automatizados (spray attacks) contra instancias expuestas a Internet o en redes internas mal segmentadas.

### Impacto y Riesgos

El impacto potencial es severo: una explotación exitosa permite al atacante acceder, exportar o modificar las contraseñas almacenadas, lo que podría desembocar en una cadena de compromisos adicionales (lateral movement) dentro de la red corporativa. En entornos donde Passwordstate gestiona credenciales administrativas, la brecha podría dar lugar a la toma de control de sistemas críticos, sabotaje, ransomware o robo de propiedad intelectual.

Click Studios estima que alrededor del **15% de sus clientes** podrían estar utilizando versiones vulnerables, lo que supone miles de organizaciones a nivel global. El coste promedio de una brecha de datos derivada de la gestión deficiente de contraseñas supera los **3,8 millones de dólares** según estudios recientes del sector.

Desde el punto de vista normativo, incidentes de este calibre pueden derivar en sanciones por incumplimientos de GDPR y NIS2, especialmente si se constata la falta de aplicación de parches de seguridad críticos o ausencia de mecanismos de detección y respuesta ante intrusiones.

### Medidas de Mitigación y Recomendaciones

Click Studios ha publicado un **parche de emergencia** en la Build 9700 y aconseja la actualización inmediata de todas las instancias. Se recomienda:

– **Actualizar Passwordstate** a la versión más reciente sin demora.
– Monitorizar logs de acceso y eventos de autenticación en busca de anomalías desde el 1 de junio de 2024.
– Revocar y regenerar todas las credenciales almacenadas si se sospecha de compromiso.
– Restringir el acceso a la interfaz de administración de Passwordstate a segmentos de red internos y utilizar VPN o autenticación multifactor (MFA).
– Implantar soluciones EDR capaces de detectar la explotación de vulnerabilidades web y movimientos laterales asociados.

### Opinión de Expertos

Especialistas en ciberseguridad como Raúl Siles (Internet Security Auditors) advierten que “este tipo de fallos en software orientado a la gestión de credenciales puede convertirse en la puerta de entrada a ataques devastadores, pues la confianza depositada en el gestor convierte cualquier bypass en un riesgo sistémico”.

Desde el panorama internacional, analistas de Mandiant y CrowdStrike han detectado un aumento de campañas dirigidas a explotar vulnerabilidades en gestores de contraseñas, destacando la rapidez con la que los exploits se integran en toolkits de ataque ampliamente utilizados por grupos APT y ransomware-as-a-service.

### Implicaciones para Empresas y Usuarios

Para los CISOs y responsables de seguridad, este incidente es una llamada de atención sobre la necesidad de mantener una gestión rigurosa del ciclo de vida de los parches, especialmente en componentes críticos como gestores de contraseñas. La exposición de Passwordstate puede suponer la caída de la estrategia de defensa en profundidad, abriendo la puerta a ataques irreversibles.

Las organizaciones deben revisar sus políticas de actualización, segmentar adecuadamente los servidores de gestión de credenciales y considerar auditorías periódicas de configuración y uso. Además, es estratégico mantener canales de inteligencia de amenazas activos para anticipar la aparición de exploits y detectar actividad anómala en tiempo real.

### Conclusiones

La vulnerabilidad de bypass de autenticación en Passwordstate supone una grave amenaza para la seguridad de empresas que dependen de este gestor para la protección de sus activos más sensibles. La disponibilidad de exploits y la rápida integración en herramientas de ataque automatizadas subrayan la urgencia de actuar. La actualización inmediata, la monitorización activa y la aplicación de buenas prácticas de seguridad son hoy más necesarias que nunca para mitigar el riesgo y evitar consecuencias legales y económicas de gran calado.

(Fuente: www.bleepingcomputer.com)