Menadžeri lozinki u oblaku pokazali 25 ranjivosti

by ·

Menadžeri lozinki u oblaku pokazali su 25 ranjivosti u nedavnom istraživanju sigurnosnih istraživača ETH Zurich. Ove ranjivosti potencijalno mogu ugroziti osjetljive informacije koje se čuvaju u menadžerima lozinki, što ukazuje na ozbiljan problem u digitalnoj infrastrukturi i naglašava značaj rigoroznih protokola testiranja radi očuvanja bezbjednosti ovih platformi.

Menadžeri lozinki u oblaku

Menadžeri lozinki u oblaku pokazali 25 ranjivosti; Source: Bing Image Creator

MENADŽERI LOZINKI U OBLAKU

Menadžeri lozinki u oblaku postali su neophodan alat za pojedince i organizacije koje žele da zaštite svoje osjetljive informacije na centralizovan način. Ove usluge omogućavaju čuvanje lozinki, brojeva kreditnih kartica i drugih povjerljivih podataka na mreži, dostupnih sa bilo kog uređaja povezanog na internet.

Tri vodeća menadžera lozinki u oblaku – Bitwarden, LastPass i Dashlane – zajedno opslužuju preko 60 miliona korisnika širom svijeta, što ih čini značajnim igračima na tržištu. Koncept šifrovanja sa nultim znanjem predstavlja osnovu ovih usluga, jer čak i u slučaju ugroženih servera, pristup trezorima otvorenog teksta nije moguć. Upravo ovo obećanje povjerljivosti navelo je mnoge da svoje osjetljive informacije povjere ovim servisima. Ipak, nedavno istraživanje otkrilo je 25 ozbiljnih ranjivosti u Bitwarden, LastPass i Dashlane menadžerima lozinki u oblaku.

Analiza sigurnosnih istraživača pokazala je da ranjivosti nastaju u interakcijama klijent-server pod potpuno zlonamjernim modelom prijetnje, gdje serveri proizvoljno odstupaju od protokola. Ovakav pristup ukazuje na mogućnosti zloupotrebe koje bi mogle ugroziti povjerljivost i integritet korisnika.

 

ANATOMIJA NAPADA

Identifikovanih 25 napada svrstano je u četiri kategorije: mehanizmi za skladištenje ključeva, propusti u šifrovanju trezora na nivou stavki, funkcije dijeljenja i problemi povratne kompatibilnosti. Ove ranjivosti pokazuju ponovljene propuste u sprovođenju tvrdnji o šifrovanju bez znanja, koje navode proizvođači menadžera lozinki u oblaku. U nastavku će biti objašnjeno o čemu se tačno radi, kako bi se pružilo jasno razumijevanje rizika koji su u pitanju.

 

Mehanizmi za skladištenje ključeva

Mehanizmi za skladištenje ključeva predstavljaju ključnu komponentu menadžera lozinki u oblaku, jer omogućavaju oporavak naloga i funkcije jednokratne prijave (eng. single sign-on – SSO). Ipak, upravo te funkcije otvaraju prostor za ranjivosti koje se mogu iskoristiti za potpuno ugrožavanje korisničkih trezora putem neprovjerenih ključeva, ugrožavajući garancije povjerljivosti koju dizajniran šifrovanje bez znanja treba da pruži. U slučaju Bitwarden menadžera lozinki, tri različite ranjivosti omogućavaju zlonamjerno automatsko upisivanje prilikom pridruživanja organizacijama ili dijalozima.

LastPass menadžer lozinki takođe postaje žrtva sličnih napada, pri čemu ranjivost iskorištava nedostatke u resetovanju lozinke na način analogan ranjivostima Bitwarden menadžera lozinki. Ove ranjivosti pokazuju kako čak i naizgled bezbjedni mehanizmi mogu biti ugroženi kada se ne poštuju odgovarajući protokoli za provjeru identiteta.

 

Propusti u šifrovanju trezora na nivou stavki

Propusti u šifrovanju trezora na nivou stavki predstavljaju posebnu kategoriju ranjivosti koju su identifikovali sigurnosni istraživači u Bitwarden, LastPass i Dashlane menadžerima lozinki. Ova vrsta ranjivosti dovodi do ugrožavanja integriteta, curenja metapodataka, zamjene polja i smanjenja verzije funkcija izvođenja ključa (eng. key derivation function – KDF) – sve su to kritična ugrožavanja bezbjednosti koja potkopavaju efikasnost principa šifrovanje bez znanja. U slučaju Bitwarden menadžera lozinki, četiri različite ranjivosti otkrivaju nezaštićene metapodatke, zamjenjuju polja, dešifruju ikone ili uklanjaju iteracije za napade grubom silom.

Ranjivosti LastPass menadžera lozinki su podjednako zabrinjavajuće, jer omogućavaju prilagodljive trezore zahvaljujući podršci za AES-CBC algoritam. Dashlane ranjivost takođe doprinosi ovoj kategoriji napada, olakšavajući ponovno reprodukovanje transakcija i ugrožavajući integritet trezora iskorištavanjem dijeljenih ključeva u različitim transakcijama.

 

Funkcije dijeljenja

Funkcije dijeljenja menadžerima lozinki u oblaku omogućavaju korisnicima da dijele određene stavke ili cijele trezore sa drugima, često koristeći sistem zasnovan na dozvolama. Međutim, ove funkcionalnosti takođe mogu uvesti ranjivosti koje ugrožavaju zaštitu povjerljivosti korisnika. Sigurnosni istraživači su identifikovali napade usmjerene na funkcije dijeljenja unutar usluga Bitwarden, LastPass i Dashlane.

Neautentifikovani javni ključevi predstavljaju značajnu prijetnju kada je u pitanju dijeljenje funkcija unutar ovih platformi. U slučaju Bitwarden menadžera lozinki, dvije različite ranjivosti ubrizgavaju ili prepisuju organizacije nakon pridruživanja, ugrožavajući pristup i bezbjednost cijelog tima. LastPass se suočava sa sličnim problemima gdje ranjivost prepisuje ključeve za dijeljenje nakon prijavljivanja.

Dashlane takođe postaje žrtva ove vrste iskorištavanja, jer njegova ranjivost omogućava ubrizgavanje ili prepisivanje dijeljenih trezora kada se pojedinac pridruži grupi unutar svoje platforme. Ovi napadi pokazuju kako naizgled bezopasne funkcije mogu biti iskorištene od strane zlonamjernih aktera u zlonamjerne svrhe.

 

Problemi povratne kompatibilnosti

Podrška za zastarjeli kôd često vodi vraćanju na nebezbjedne režime poput lančanog šifrovanja blokova (eng. cipher block chaining – CBC). Takve režime zatim zloupotrebljavaju zlonamjerni akteri koji traže ranjivosti u primjenama šifrovanje bez znanja, a da same platforme toga nisu svjesne.

U slučaju Bitwarden menadžera lozinki, tri različite ranjivosti onemogućavaju zaštitu i dovode do prepisivanja ključeva nakon pridruživanja organizacijama ili sinhronizacije podataka. Dashlane se suočava sa sličnim problemima, jer ranjivosti omogućavaju ubrizgavanje, uklanjanje funkcija izvođenja ključa (KDF) i iskorištavanje nakon sinhronizacije, što ugrožava integritet njihove primjene šifrovanje bez znanja.

Ovi napadi pokazuju da se kompatibilnost unazad može pretvoriti u vektor iskorištavanja od strane zlonamjernih aktera, koji na taj način potkopavaju bezbjednosne protokole.

 

Spisak ranjivosti

Ref. napad Proizvod Uzrok Posljedica Odnos s klijentom
1 Bitwarden Nedostatak provjere ključa, zamjena ključa Potpuno ugrožavanje trezora 1 pridruživanje
2 Bitwarden Zamjena ključa Potpuno ugrožavanje trezora 1 rotacija
3 Bitwarden Nedostatak provjere ključa, zamjena ključa Potpuno ugrožavanje trezora 1 razgovor
4 LastPass Nedostatak provjere ključa Potpuno ugrožavanje trezora 1 prijava
5 Bitwarden Nedostatak šifrovanja sa proverom integriteta Čitanje/izmjena metapodataka
6 Bitwarden Nedostatak razdvajanja ključeva Zamjena polja/stavke
7 Bitwarden Nedostatak razdvajanja ključeva Gubitak povjerljivosti 1 otvaranje
8 Bitwarden Nedostatak šifrovanja sa proverom integriteta Bez zaštite od napada grubom silom 1 prijava
9 LastPass Nedostatak šifrovanja sa proverom integriteta Zamjena polja/stavke
10 LastPass Nedostatak razdvajanja ključeva Gubitak povjerljivosti 1 otvaranje
11 LastPass Nedostatak šifrovanja sa proverom integriteta Bez zaštite od napada grubom silom 1 prijava
12 LastPass Nedostatak šifrovanja sa proverom integriteta Gubitak cjelovitosti trezora
13 Dashlane Nedostatak razdvajanja ključeva Gubitak cjelovitosti trezora
14 Bitwarden Nedostatak ovjere ključa Dodavanje korisnika u organizaciju 1 sinhronizacija
15 Bitwarden Nedostatak provjere ključa, zamjena ključa Ugrožavanje organizacije 1 pridruživanje
16 LastPass Nedostatak provjere ključa Ugrožavanje dijeljenog trezora 1 pridruživanje
17 Dashlane Nedostatak ovjere ključa Ugrožavanje dijeljenog trezora 1 pridruživanje
18 Bitwarden Nedostatak šifrovanja sa proverom integriteta Degradacija hijerarhije ključa
19 Bitwarden CBC podrška Gubitak povjerljivosti 2 prijave
20 Bitwarden CBC podrška Potpuno ugrožavanje trezora 2 prijave
21 Dashlane CBC podrška Gubitak cjelovitosti trezora 104 sinhronizacije
22 Dashlane CBC podrška Bez zaštite od napada grubom silom 104 sinhronizacije
23 Dashlane CBC podrška Gubitak povjerljivosti 105 sinhronizacija
24 Dashlane CBC podrška Bez zaštite od napada grubom silom 104 sinhronizacije
25 LastPass Nedostatak šifrovanja sa proverom integriteta Čitanje/izmjena metapodataka

 

Objavljivanje i odgovor

Odgovorno objavljivanje nalaza istraživača predstavlja ključni element u oblasti bezbjednosti upravljanja lozinkama. Bitwarden je 27. januara 2025. godine javno iznio svoja zapažanja pred stručnu zajednicu, čime je postavljen važan temelj transparentnosti i odgovornosti u industriji. Ovaj čin nije bio usamljen, već dio šireg trenda u kojem su i druge značajne kompanije otvoreno podijelile svoja saznanja.

Na tom putu, LastPass je objavio svoje nalaze 4. juna 2025, a Dashlane 29. avgusta iste godine. Usklađenost ovih objava pokazala je zajedničku posvećenost otvorenosti i saradnji među učesnicima u industriji. Proces objavljivanja obuhvatio je jasno predstavljanje ranjivosti uz objašnjenja njihovog mogućeg uticaja na bezbjednost korisnika, što je omogućilo organizacijama da donose informisane odluke i usmjere napore ka ublažavanju rizika.

Bitwarden je, kao odgovor na objavljene nalaze, uveo značajne izmjene u svom sistemu. Među njima su stroži zahtjevi za broj ponavljanja funkcija izvođenja ključa (KDF) i uklanjanje načina lančanog šifrovanja blokova (CBC). Ove mjere imale su za cilj jačanje otpornosti sistema na napade grubom silom i sprječavanje zloupotreba kroz kriptoanalitičke metode. Time je kompanija pokazala spremnost da se prilagođava i unapređuje zaštitu podataka korisnika.

LastPass je riješio jednu specifičnu ranjivost, dok je Dashlane ublažio probleme povezane sa načinom lančanog šifrovanja blokova (CBC). Iako njihovi zahvati nisu bili jednako obimni kao kod kompanije Bitwarden, predstavljali su važan korak u jačanju bezbjednosti. Ono što povezuje sve ove postupke jeste posvećenost unapređenju zaštite i očuvanju povjerenja korisnika, čime se postavlja primjer drugim učesnicima u industriji da odgovorno i pravovremeno reaguju na uočene ranjivosti.

 

Preporuke sigurnosnih istraživača

Pored mjera koje su bile karakteristične za pojedinačne dobavljače, istraživači su preporučili i skup postupaka usmjerenih na jačanje bezbjednosti upravljanja lozinkama u cijeloj industriji.

Šifrovanje sa provjerom (eng. authenticated encryption – AE) izdvojilo se kao jedna od ključnih preporuka, naglašavajući potrebu da svi šifrovani podaci budu provjereni prije obrade ili čuvanja. Njegova primjena predstavlja suštinski korak u zaštiti osjetljivih informacija od neovlaštenog pristupa ili izmjene. Ugradnjom mehanizama provjere u sisteme, kompanije mogu značajno smanjiti rizike povezane sa ugroženim lozinkama ili ključevima za šifrovanje.

Potpuno odvajanje ključeva (eng. key separation – KS) bilo je još jedno preporučeno rješenje, usmjereno na poboljšanje bezbjednosti upravljanja lozinkama. Ovaj pristup podrazumijeva odvajanje i čuvanje pojedinačnih komponenti šifrovanih podataka na različitim lokacijama, kako bi se spriječio neovlašteni pristup ili manipulacija.

Provjera javnim ključem (eng. public key authentication – PKA) dobila je pažnju kao suštinska komponenta za jačanje ukupne bezbjednosti sistema. Korištenjem kriptografije javnog ključa, kompanije mogu osigurati da su osjetljive informacije provjerene prije obrade ili čuvanja.

Potpisivanje šifrovanog teksta (eng. ciphertext signing – SC) predstavlja srodni koncept, zasnovan na dodavanju digitalnih potpisa šifrovanim podacima radi potvrde njihove vjerodostojnosti i cjelovitosti. Ovaj pristup pruža dodatni sloj zaštite od neovlaštenog pristupa ili izmjene informacija važnih za korisnike.

Primjena ovih preporuka naglašava značaj proaktivnih mjera unutar sistema za upravljanje lozinkama. Njihovom integracijom u arhitekture, kompanije mogu značajno unaprijediti ukupnu bezbjednost i istovremeno očuvati povjerenje korisnika.

 

UTICAJ

Uticaj otkrivenih ranjivosti u menadžerima lozinki u oblaku najviše se ogleda u narušavanju povjerenja korisnika. Kada se pokaže da sistemi koji obećavaju potpunu zaštitu ipak imaju ranjivosti, dolazi do destabilizacije odnosa između korisnika i dobavljača usluga. Posljedica toga jeste smanjena spremnost pojedinaca i organizacija da svoje osjetljive podatke povjere ovakvim platformama, što direktno utiče na njihovu tržišnu poziciju i reputaciju.

Takvi problemi ne ostaju ograničeni samo na korisnike, već se prenose i na širu digitalnu infrastrukturu. Ugroženi povjerljivi podaci pogađaju poslovne procese, finansijske sisteme i komunikacione kanale, čime se narušava stabilnost čitavih sektora koji zavise od sigurnog upravljanja lozinkama. Rizik se pritom širi i na treće strane koje se oslanjaju na iste servise, pa posljedice postaju sistemske.

Industrija bezbjednosti zbog toga trpi dodatni pritisak. Otkriće ranjivosti u vodećim proizvodima otvara pitanje kvaliteta testiranja i provjere prije izlaska usluga na tržište. To stvara potrebu za revizijom postojećih protokola i jačim mehanizmima nadzora, što mijenja dinamiku razvoja i održavanja ovih sistema.

Istovremeno, javna objava ranjivosti stavlja regulatorne institucije pred izazov da preispitaju postojeće propise o zaštiti podataka. Pritisak raste ka donošenju strožih pravila koja bi obavezala dobavljače da redovno provode provjere i transparentno izvještavaju o slabostima. Takve promjene mogu dugoročno oblikovati način na koji se digitalna bezbjednost tretira na globalnom nivou.

Na kraju, ranjivosti utiču i na konkurenciju među dobavljačima. Kompanije koje brže i odlučnije reaguju na nalaze istraživača stiču prednost u očuvanju povjerenja korisnika, dok one koje sporije odgovaraju ili umanjuju problem rizikuju gubitak korisničke baze. Ova dinamika mijenja ravnotežu na tržištu i može dovesti do preraspodjele uticaja među vodećim dobavljačima.

 

ZAKLJUČAK

Objavljivanje nalaza o ranjivostima u menadžerima lozinki u oblaku otvorilo je prostor za novu dinamiku u industriji. Transparentnost koju su kompanije pokazale kroz javne izvještaje stavila je akcenat na značaj otvorene komunikacije između dobavljača i stručne zajednice. Time je oblikovan okvir u kojem se bezbjednost ne posmatra samo kao tehnički izazov, već i kao pitanje povjerenja i odgovornosti.

Na tom temelju, reakcije kompanija na otkrivene ranjivosti pokazale su različite pristupe u suočavanju sa problemima. Dok su neki dobavljači uveli opsežne izmjene u svojim sistemima, drugi su se fokusirali na pojedinačne zahvate. Ova raznolikost odgovora ukazuje da ne postoji jedinstven put, već da svaki dobavljač bira način koji smatra najprikladnijim za očuvanje stabilnosti i povjerenja korisnika.

Sam proces objavljivanja ranjivosti dodatno je pokazao da industrija funkcioniše u okvirima zajedničke odgovornosti. Kada se ranjivosti iznesu pred stručnu javnost, otvara se prostor za razmjenu znanja i iskustava, što doprinosi širem razumijevanju problema. Na taj način se oblikuje kultura u kojoj se bezbjednost gradi kroz saradnju, a ne kroz zatvaranje informacija.

Ovakvi događaji istovremeno ukazuju na stalnu promjenljivost digitalnog okruženja. Svaka nova ranjivost podsjeća da sajber bezbjednost nije statična, već proces koji zahtijeva stalno prilagođavanje. Time se naglašava da sistemi, bez obzira na svoju popularnost ili rasprostranjenost, ostaju podložni izazovima koji se ne mogu u potpunosti predvidjeti.

Na kraju, objave ranjivosti i naknadne reakcije kompanija oblikuju širi okvir u kojem se bezbjednost posmatra kao zajednički zadatak. One pokazuju da je otvorenost prema problemima jednako važna kao i tehnička rješenja, jer upravo kroz tu otvorenost nastaje prostor za dalji razvoj i jačanje povjerenja u digitalne sisteme.

 

PREPORUKE

Zaštita od ranjivosti u menadžerima lozinki u oblaku zahtijeva pažnju na detalje, mjere predostrožnosti i stalnu budnost, jer sigurnost podataka zavisi od pravovremenog prepoznavanja prijetnji i odgovarajućeg odgovora. Osnovni cilj je očuvanje povjerenja u servise u oblaku i smanjenje rizika od incidenata koji mogu ugroziti osjetljive informacije. U nastavku slijede preporuke koje se odnose na ključne korake za jačanje bezbjednosti podataka:

  1. Odabrati dobro uspostavljen i pouzdan servis menadžera lozinki u oblaku koji daje prioritet bezbjednosti i transparentnosti u vezi sa mogućim rizicima. Istražiti njegovu istoriju, spoljne revizije i ocjene korisnika prije donošenja odluke o određenom rješenju.
  2. Uvjeriti se da izabrani menadžer lozinki u oblaku ima šifrovanje od kraja do kraja kao standardnu praksu za sve podatke pohranjene na njegovim serverima. Ova ključna funkcija štiti osjetljive informacije od neovlaštenog pristupa čak i u slučaju ugroženih sistema pružaoca usluge.
  3. Upoznati se sa vrstama napada koji mogu ugroziti menadžere lozinki u oblaku, kao što su ugrožavanje integriteta i potpuna ugrožavanje trezora u organizacijama. Biti svjestan ovih rizika radi donošenja informisanih odluka o bezbjednosnim mjerama.
  4. Aktivirati provjeru identiteta u dva koraka (eng. two-factor authenticatio – 2FA) kad god je moguće radi dodatne zaštite od pokušaja neovlaštenog pristupa. Ovaj dodatni sloj provjere značajno smanjuje vjerovatnoću uspješnih napada na naloge menadžera lozinki u oblaku.
  5. Uvjeriti se da svi uređaji koji se koriste za rad sa menadžerima lozinki u oblaku imaju ažurirane operativne sisteme, internet pregledače i druge relevantne aplikacije. Redovna ažuriranja često uključuju bezbjednosne ispravke koje otklanjaju poznate ranjivosti koje zlonamjerni akteri koriste.
  6. Formirati složene lozinke ili koristiti sistem fraza radi maksimalne zaštite od napada grube sile na podatke za prijavu pohranjene u menadžeru lozinki u oblaku.
  7. Pregledati sistemske dnevnike radi sumnjivog ponašanja, pokušaja prijave sa nepoznatih lokacija ili drugih znakova neovlaštenog pristupa. Pravovremeno otkrivanje omogućava brzu reakciju na bezbjednosne incidente prije njihovog daljeg razvoja.
  8. Uspostaviti i sprovesti pravila koja zahtijevaju da korisnici periodično mijenjaju lozinke (npr. svakih 60 dana) kao dodatni sloj zaštite od iskorištavanja ugroženih podataka za prijavu.
  9. Uvjeriti se da se sve interakcije sa menadžerima lozinki u oblaku odvijaju preko pouzdanih, šifrovanih veza kao što su HTTPS ili virtualne privatne mreže (VPN) kad god je moguće. Ova mjera sprječava prisluškivanje i napade na podatke koji se prenose između uređaja i servera pružaoca usluge.
  10. Redovno ažurirati ne samo lične računare već i mobilne uređaje koji se koriste za pristup menadžerima lozinki u oblaku, osiguravajući da sve aplikacije rade sa aktuelnim bezbjednosnim ispravkama.
  11. Instalirati pouzdane dodatke ili aplikacije posebno dizajnirane za bezbjednu interakciju sa izabranim menadžerom lozinki u oblaku, jer oni često uključuju dodatne funkcije poput automatskih ažuriranja i upozorenja o mogućim ranjivostima.
  12. Uspostaviti pravila koja privremeno obustavljaju pristup nakon više neuspjelih pokušaja prijave sa istog uređaja ili lokacije u kratkom vremenskom periodu (npr. 5 minuta). Ova mjera sprječava napade grube sile ograničavanjem ponovljenih pokušaja pogađanja.
  13. Kada se prenose povjerljivi podaci, kao što su lozinke koje se dijele između korisnika radi oporavka naloga, koristiti pouzdane i šifrovane platforme za razmjenu poruka radi sprječavanja presretanja kritičnih podataka za prijavu tokom prenosa.
  14. Neki servisi u oblaku nude integrisanu zaštitu od različitih vrsta napada (npr. simulacije phishing napada), što može biti korisno za održavanje cjelovitosti sistema i smanjenje potencijalnih ranjivosti u infrastrukturi pružaoca usluge.
  15. Informisati se putem pouzdanih izvora, kao što su bezbjednosni blogovi ili zvanična saopštenja pružaoca usluge menadžera lozinki u oblaku o novootkrivenim rizicima i ispravkama koje se primjenjuju radi njihove neutralizacije.
  16. Uspostaviti procedure za brzu reakciju u slučaju otkrivanja ranjivosti u korištenim servisima u oblaku, bilo da ih koriste organizacije ili pojedinci. Ovaj proaktivan pristup omogućava brzo ograničavanje i ublažavanje posljedica iskorišćenih bezbjednosnih ranjivosti.
  17. Informisati sve osobe koje koriste izabrane menadžere lozinki u oblaku o važnosti održavanja jakih lozinki ili fraza, omogućavanja provjere identiteta u dva koraka (2FA) kad god je moguće, redovnog praćenja aktivnosti naloga radi sumnjivog ponašanja i prijavljivanja zabrinutosti nadležnom bezbjednosnom osoblju u organizaciji.
  18. Redovno praviti rezervne kopije ključnih informacija pohranjenih u servisima u oblaku koristeći pouzdane treće strane koje nude snažne funkcije šifrovanja tokom prenosa i pohrane osjetljivih kopija.

Zaštita od identifikovanih nedostataka u menadžerima lozinki u oblaku zahtijeva pažnju na detalje, proaktivne mjere i stalnu budnost. Sprovođenjem ovih preporuka na više platformi i osiguravanjem da su svi korisnici svjesni mogućih rizika povezanih sa ugroženim nalozima, pojedinci i organizacije mogu značajno smanjiti izloženost bezbjednosnim incidentima koji utiču na izabrane servise korištene za upravljanje osjetljivim informacijama na mreži.

Tags:

You may also like...

Leave a Reply

Your email address will not be published. Required fields are marked *


The reCAPTCHA verification period has expired. Please reload the page.