Passwort-Manager: BSI findet Schwachstellen bei KeePass und Co.

Das Bundesamt für Informationssicherheit, kurz BSI, hat die zwei Passwort-Manager KeePass und Vaultwarden auf Sicherheitsmängel hin überprüfen lassen. Die Untersuchung fußt auf einem Projekt zur Codeanalyse von Open-Source-Software, das sich Caos 3.0 nennt. Ziel des Projektes ist seit 2021, die Sicherheit beliebter Open-Source-Software zu überprüfen und vor allem den Entwicklern unterstützend zur Seite zu stehen. Vor allem bei Vaultwarden wurde man fündig und stufte zwei der gefundenen Sicherheitslücken sogar in die Kategorie „Hoch“ ein.

Bei Vaultwarden wurden diese Fehler in der Serveranwendung gefunden. Unter Ausnutzung dieser Lücken könnten Angreifer die Software direkt kompromittieren. Die Lücke trete zum Beispiel bei der Nutzung in Unternehmen auf, wenn ein Angestellter das Unternehmen verlässt. Der Master-Schlüssel könne in einem solchen Offboarding-Fall nicht ausgetauscht werden Bedeutet: der scheidende Mitarbeiter hätte weiterhin den kryptografischen Schlüssel zu Interna.

Eine direkt damit einhergehende Lücke wurde ebenfalls gefunden, die die Möglichkeit bietet, auf verschlüsselte Daten anderer Organisationen oder Einheiten zuzugreifen. Beide Fehler werden unter der CVE-ID CVE-2024-39925 geführt.

Die gute Nachricht: da die Untersuchungen bereits Mitte des Jahres durchgeführt wurden, hat der Vaultwarden-Hersteller bereits reagiert und nahezu alle Lücken – auch die oben beschriebene – geschlossen. System-Administratoren sind entsprechend angehalten, die neuesten Updates einzuspielen.

Bei KeePass wurden die Forscher ebenfalls fündig, konnten hier aber keine Lücken ausmachen, die in die Kritikalitätskategorie „Hoch“ passen würden. Dafür fand man kleinere Bugs in Version 2.56, die unter anderem die Möglichkeit boten, Passwörter abzugreifen. Zudem wurden Fehler bei der Validierung von SSL-Zertifikaten gefunden.