Bitwarden 비밀번호 관리자의 자동 완성 기능, iframe 기반 자격 증명 도난에 취약

Flashpoint의 보안 분석가들이 Bitwarden 자격 증명 자동 완성 기능의 결함을 발견했습니다. 잘 모르시는 분들을 위해 설명하자면, Bitwarden은 웹 브라우저용 확장을 가진 프리미엄 비밀번호 관리 서비스로, 웹사이트의 자격 증명을 암호화된 금고에 보관합니다.

계속해서, Bitwarden 자동 완성 기능은 신뢰할 수 있는 웹사이트에 심어진 악성 iframe이 사용자의 자격 증명을 훔쳐 공격자에게 전송할 수 있는 위험한 행동을 가지고 있습니다.

보안 회사에 따르면, Bitwarden은 2018년에 이 문제에 대해 알게 되었지만, 여전히 iframe을 사용하는 신뢰할 수 있는 웹사이트와 함께 이를 허용하기로 선택했습니다.

그렇긴 하지만, 자동 완성 기능은 기본적으로 활성화되어 있지 않으며, 이를 활용하는 상태는 많지 않습니다. 그러나 일부 웹사이트는 요구 사항을 충족하며, 어떤 위협 행위자는 이러한 결함을 악용하려고 할 것입니다.

사용자가 웹사이트를 방문하면, 비밀번호 관리자 확장이 도메인에 저장된 로그인이 있는지 스캔하고 자격 증명을 자동으로 입력하겠다고 제안하며, 자동 완성이 켜져 있으면 사용자가 아무것도 하지 않아도 페이지가 로드될 때 자동으로 입력됩니다.

이제 Bitwarden을 분석한 후, 보안 회사의 분석가는 확장이 외부 도메인에서 온 임베디드 iframe에 지정된 양식도 자동으로 입력한다는 것을 발견했습니다.

Flashpoint에 따르면, iframe은 메인 페이지의 콘텐츠에 접근할 수는 없지만, 로그인 양식을 기다린 후 사용자가 추가한 자격 증명을 원격 서버로 전달합니다.

읽기: 위협 행위자들이 OpenAI의 ChatGPT 인기를 악용하여 악성 소프트웨어를 배포하다

게다가, Flashpoint는 iframe이 높은 트래픽을 가진 웹사이트의 로그인 페이지에 얼마나 자주 심어지는지를 조사했으며, 위험한 사례의 수가 적어 위험이 현저히 낮아진다고 말했습니다.

그러나 보안 회사가 iframe 문제를 조사하는 동안 발견한 두 번째 문제가 여전히 존재합니다. 비밀번호 관리 서비스는 또한 로그인과 일치하는 메인 웹사이트의 하위 웹사이트에서 자격 증명을 자동으로 입력합니다.

이는 공격자가 기본 도메인의 저장된 도메인 로그인을 일치시키는 하위 도메인 아래에 피싱 페이지를 호스팅한 경우, 자동 완성 기능이 켜져 있다면 웹사이트를 방문하는 사용자의 자격 증명을 훔칠 수 있음을 나타냅니다.

보고서에서 Flashpoint는 일부 콘텐츠 호스팅이 공식 도메인의 하위 도메인 아래에 임의의 콘텐츠를 호스팅할 수 있도록 허용하며, 이는 로그인 페이지로도 사용된다고 언급합니다.

예를 들어, 한 기업은 http://login.company.tld에 로그인 페이지를 두고 사용자가 https:// 아래에서 콘텐츠를 제공할 수 있도록 허용했습니다. 이러한 사용자들은 Bitwarden 확장에서 자격 증명을 훔칠 수 있었습니다.

결국, Bitwarden은 자동 완성 기능이 잠재적인 위험이라는 것을 인정했으며, 특히 감염된 사이트가 자격 증명을 훔치기 위해 자동 완성 기능을 악용할 가능성을 언급하며 경고를 포함했습니다.

이 결함은 2018년 11월에 수행된 보안 평가에서 밝혀졌지만, 회사는 이미 이 문제를 한동안 알고 있었습니다.

사용자가 외부 도메인에서 심어진 iframe을 사용하여 서비스에 로그인해야 하므로, Bitwarden의 개발자들은 이를 변경하지 않기로 결정하고 소프트웨어의 선언 및 확장 적용 설정에 경고를 추가했습니다.

보안 회사의 URL 처리 및 자동 완성이 하위 도메인을 제어하는 방법에 대한 두 번째 보고서에 응답하여, 회사는 업데이트에서 보고된 호스팅에서 자동 완성을 차단하겠다고 확신했지만 iframe 기능을 변경할 계획은 없다고 밝혔습니다.

읽기: BidenCash 유출: 200만 개 이상의 신용/직불 카드 개인 정보 노출