La funzione di compilazione automatica del gestore di password Bitwarden vulnerabile al furto di credenziali basato su iframe

Gli analisti di sicurezza di Flashpoint hanno scoperto un difetto nella funzione di compilazione automatica delle credenziali di Bitwarden. Bene, per chi non lo sapesse, Bitwarden è un servizio di gestione delle password freemium con un’estensione per browser web che conserva le credenziali del sito web in una cassaforte crittografata.

Procedendo, la funzione di compilazione automatica di Bitwarden presenta un comportamento pericoloso che potrebbe consentire a un iframe malevolo piantato in siti web fidati di rubare le credenziali degli utenti e inviarle all’attaccante.

Secondo la società di sicurezza, Bitwarden è a conoscenza del problema dal 2018, ma continua a consentirlo con siti web fidati che utilizzano un iframe.

Detto ciò, la funzione di compilazione automatica non è attiva per impostazione predefinita e lo stato di utilizzo non è molto elevato. Tuttavia, alcuni siti web soddisfano i requisiti e qualsiasi attore malevolo tenterà di sfruttare queste vulnerabilità.

Bene, un utente visita un sito web, l’estensione del gestore di password controlla se c’è un accesso memorizzato per il dominio e offre di compilare le credenziali, e se la compilazione automatica è attivata, le compila automaticamente mentre la pagina si carica senza che l’utente debba fare nulla.

Ora, dopo aver analizzato Bitwarden, l’analista della società di sicurezza ha scoperto che l’estensione compila automaticamente anche i moduli specificati nell’iframe incorporato, anche quelli provenienti da un dominio esterno.

Sebbene l’iframe non abbia accesso ai contenuti sulla pagina principale, attende il modulo di accesso e poi inoltra le credenziali aggiunte dall’utente a un server remoto senza ulteriori interazioni da parte dell’utente, afferma Flashpoint.

Leggi: Gli attori malevoli sfruttano la popolarità di ChatGPT di OpenAI per distribuire malware

Inoltre, Flashpoint ha indagato su quanto spesso l’iframe venga piantato sulla pagina di accesso di siti web ad alto traffico e ha affermato che il numero di casi rischiosi è basso, riducendo notevolmente i rischi.

Tuttavia, c’è ancora un secondo problema che la società di sicurezza ha trovato mentre indagava sul problema dell’iframe. Bene, il servizio di gestione delle password compila automaticamente anche le credenziali sui sottodomini del sito principale che corrispondono all’accesso.

Questo indica che se l’attaccante ha ospitato una pagina di phishing sotto il sottodominio che corrisponde all’accesso memorizzato del dominio di base, ruberà le credenziali dell’utente che visita il sito web se la funzione di compilazione automatica è attivata.

In un rapporto, Flashpoint menziona che alcuni hosting di contenuti consentono di ospitare contenuti arbitrari sotto un sottodominio del loro dominio ufficiale, che funge anche da pagina di accesso.

Ad esempio, un’azienda ha una pagina di accesso su http: //login.company.tld e consente agli utenti di servire contenuti sotto https://; questi utenti sono stati in grado di rubare le credenziali dall’estensione Bitwarden.

Bene, dopo tutto questo, Bitwarden ha riconosciuto che la funzione di compilazione automatica è un potenziale rischio e include anche un avviso nella sua dichiarazione, menzionando in particolare la possibilità che siti infetti sfruttino la funzione di compilazione automatica per rubare credenziali.

Sebbene il difetto sia stato portato alla luce in una valutazione di sicurezza effettuata a novembre 2018, l’azienda è già a conoscenza del problema da un po’ di tempo.

Poiché l’utente deve accedere al servizio utilizzando l’iframe piantato da un dominio esterno, gli sviluppatori di Bitwarden hanno deciso di mantenere questa situazione invariata e aggiungere un avviso nella dichiarazione del software e nelle impostazioni applicabili all’estensione.

Rispondendo al secondo rapporto della società di sicurezza riguardo alla gestione degli URL e a come la compilazione automatica controlla il sottodominio, l’azienda ha assicurato di bloccare la compilazione automatica sull’hosting segnalato in un aggiornamento, ma non prevede di modificare la funzionalità dell’iframe.

Leggi: BidenCash Leak: oltre 2 milioni di carte di credito/debito con informazioni personali esposte