BSI: Forscher finden Schwachstellen in Passwort-Managern

Bei einer Open-Source-Codeanalyse hat das BSI die Passwort-Manager Vaultwarden und KeePass auf Sicherheitseigenschaften untersucht – mit ungleichen Ergebnissen.

In Pocket speichern vorlesen Druckansicht 329 Kommentare lesen

(Bild: Song_about_summer/Shutterstock.com)

Lesezeit: 4 Min.

Das Bundesamt für Informationssicherheit (BSI) hat zusammen mit der Münchner Firma MGM Security Partners zwei Passwort-Manager im Rahmen des Projekts zur Codeanalyse von Open-Source-Software (Caos 3.0) auf mögliche Mängel überprüft. Die Tester wurden dabei vor allem bei Vaultwarden fündig. Bei der Lösung zum Speichern von Passwörtern identifizierten die Experten zwei Sicherheitslücken und stuften sie als "hoch" ein.

Vaultwarden unterstützt das Frontend und die Anwendungen der Alternative Bitwarden, gilt durch eine Implementation in Rust aber als schneller und ressourcensparender. Eine direkte Verbindung zwischen beiden Projekten gibt es nicht. Der Ergebnisbericht von MGM stammt vom 11. Juni, das BSI hat ihn aber erst am Montag veröffentlicht. Die Vaultwarden-Serveranwendung weist demnach in der inspizierten Version insbesondere je zwei Sicherheitslücken mittlerer beziehungsweise hoher Kritikalität auf, mit denen ein Angreifer gezielt Nutzer und die Anwendung kompromittieren kann. Für diese Schwachstellen hat das Forscherteam CVE-IDs (Common Vulnerabilites and Exposures) erhalten.

"Vaultwarden sieht keinen Offboarding-Prozess für Mitglieder vor", die eine Organisation wie ein Unternehmen oder eine Behörde verlassen, schreiben die Autoren zu einer Lücke mit hohem Risiko. "Das bedeutet, dass die für den Datenzugriff notwendigen Master-Schlüssel in diesem Fall nicht ausgetauscht werden." Folglich besitze die ausscheidende Person, der eigentlich der Zugang entzogen werden sollte, weiterhin den kryptografischen Schlüssel zu den Daten der Organisation.

In Kombination mit einer weiteren Schwachstelle, über die unberechtigt auf verschlüsselte Daten anderer Einrichtungen zugegriffen werden könne (Risiko mittel), behalte das ehemalige Mitglied so weiterhin unberechtigten Zugriff auf alle – auch später erzeugten – Geheimnisse der entsprechenden Organisation im Klartext. Da beide Lücken eng zusammenhängen, haben die Sicherheitsforscher die gemeinsame CVE-ID CVE-2024-39925 beantragt und erhalten.

Zudem werde beim Ändern der Metadaten eines eingerichteten Notfallzugriffs die Berechtigung des entsprechend ausgerüsteten Nutzers nicht überprüft, erklären die Tester (CVE-2024-39924, Risiko hoch). Über den Endpunkt könnten die Bedingungen für das Notfallszenario einschließlich der Zugriffsebene und der Wartezeit nachträglich geändert werden. Ein Angreifer, dem ein Admin auf diesem Wege Zugriff auf ein Konto gewährt habe, wäre damit in der Lage, auf die Daten des Accounts mit einer höheren Zugriffsstufe zugreifen. Ferner könnte er die durch den Besitzer festgelegte Wartezeit, die standardmäßig 7 Tage beträgt, beliebig verkürzen.

"Das Admin-Dashboard ist anfällig für HTML-Injection-Angriffe", haben die Prüfer zudem entdeckt (CVE-2024-39926, Risiko mittel). Durch das Einfügen von HTML-Tags sei es möglich, die Optik und die Inhalte der Seite zu verändern und etwa Links zu bösartigen Seiten einzubetten. Unter Umständen ließen sich auch Skripte ausführen.

Die Untersuchungen, die zwischen Februar und Mai stattfanden, bezogen sich auf die Version 1.30.3. Behoben sind mit der im August erschienenen Vaultwarden-Version 1.32.0 die Lücken CVE-2024-39924, CVE-2024-39925 und CVE-2024-39926. Administratoren sollten daher ein entsprechendes Update durchführen. Präzise Risikobewertungen mittels Common Vulnerability Scoring System (CVSS) und eine genaue Auflistung betroffener Produktversionen nach Common Platform Enumeration (CPE) fehlen im Bericht.

Update

Wir haben die Angaben zu den CVEs und der Kritikalität der Lücken präzisiert und in die jeweiligen Beschreibungen verschoben.

Bei der ebenfalls analysierten Lösung KeePass stießen die Kontrolleure in Version 2.56 (aktuell ist 2.57.1) nur auf mehrere als niedrig eingestufte Schwachstellen: Das globale Auto-Type-Feature erlaubt es demnach, automatisch den Benutzernamen und das Kennwort eines beliebigen Eintrags in eine Webseite einzugeben, falls der Titel der Homepage den des KeePass-Eintrags an einer beliebigen Stelle enthält. Diese Funktion könnte von bösartigen Seitenbetreibern dazu missbraucht werden, Passwörter anderer Einträge abzugreifen. Zudem werde beim Datenimport über Spamex die Validierung des SSL-Zertifikats übersprungen. Dadurch sei es einem Angreifer theoretisch möglich, eine Man-in-the-Middle-Attacke durchzuführen. Durch eine große Menge an Copy-Paste Code-Duplizierungen wirkten Teile der Anwendung auch "recht unaufgeräumt", was eine effektive Reaktion auf künftige Lücken erschweren dürfte.

Das Caos-Kooperationsprojekt läuft seit 2021. Ziel ist es, die Sicherheit beliebter Open-Source-Software zu prüfen und die zuständigen Teams beim Schreiben sicheren Codes zu unterstützen. Entdeckte umfänglichere Schwachstellen teilen die Macher den Entwicklern im Responsible-Disclosure-Verfahren vorab mit. Im Rahmen der Initiative untersuchten BSI und MGM etwa auch bereits die Videokonferenz-Werkzeuge Jitsi und BigBlueButton sowie Mastodon und Matrix.

(vbr)