In Vaultwarden, einer beliebten Open-Source-Alternative zu Bitwarden, wurden drei schwerwiegende Sicherheitslücken entdeckt, die es Angreifern ermöglichen, administrative Kontrolle über fremde Organisationen zu erlangen oder das Admin-Panel unautorisiert zu manipulieren. Betroffen sind alle Versionen bis einschließlich 1.32.7, die Schwachstellen wurden in Version 1.33.0 behoben.
Die erste Schwachstelle (CVE-2025-24365) betrifft eine fehlerhafte Verarbeitung von Organisationszuweisungen in der Vaultwarden-API. Angreifer können durch eine manipulierte API-Anfrage eine fremde Organisation steuern, indem sie die organizationId-Parameter in der URL austauschen. Dies ermöglicht es ihnen, sich selbst Administratorrechte innerhalb fremder Organisationen zuzuweisen, Nutzer einzuladen oder gar Organisationen zu löschen. Besonders gefährlich ist, dass diese Attacke mit minimalen Rechten durchgeführt werden kann, solange der Angreifer bereits Mitglied in einer anderen Organisation ist.
Die zweite Schwachstelle (GHSA-f7r5-w49x-gxm3) erlaubt Angriffe auf das Vaultwarden-Admin-Panel durch Cross-Site Request Forgery (CSRF). Durch eine manipulierte Webseite kann ein Angreifer automatisch HTTP-Anfragen an das Admin-Panel senden, um sicherheitskritische Konfigurationen zu verändern, etwa das Admin-Passwort oder die Multi-Faktor-Authentifizierungseinstellungen. Dies ist besonders problematisch, wenn die Option DISABLE_ADMIN_TOKEN aktiviert ist, da Vaultwarden in diesem Fall keine Authentifizierung für die Änderung von Admin-Einstellungen verlangt. Das Problem resultiert daraus, dass das Admin-Panel keine Überprüfung des Content-Type-Headers durchführt, wodurch Angreifer durch eine einfache HTML-Seite schädliche Anfragen an Vaultwarden senden können.
Die dritte Schwachstelle (GHSA-j4h8-vch3-f797) betrifft eine fehlerhafte Variablenverarbeitung im OrgHeaders-Trait und kann zu einer unerwarteten Eskalation von Benutzerrechten führen. Angreifer können durch die Kombination von GET- und Path-Parametern innerhalb der Vaultwarden-API erreichen, dass der Server Zugriffsrechte verwechselt und falsche Berechtigungen zuweist. Dies kann dazu genutzt werden, um sich höhere Privilegien innerhalb einer Organisation zu verschaffen und administrative Kontrolle zu übernehmen.
Um diese schwerwiegenden Sicherheitslücken zu beheben, wird dringend empfohlen, Vaultwarden auf Version 1.33.0 zu aktualisieren. Zudem sollten Administratoren sicherstellen, dass das Admin-Panel durch geeignete Maßnahmen geschützt ist – dazu gehört, die Option DISABLE_ADMIN_TOKEN zu deaktivieren, Firewall-Regeln zu implementieren, um das Admin-Interface nur von bestimmten IP-Adressen erreichbar zu machen, sowie CSRF-Schutzmechanismen durch geeignete Header-Prüfungen zu aktivieren. Die Sicherheitslücken wurden am 25. Januar 2025 öffentlich bekannt gemacht, weshalb schnelles Handeln erforderlich ist, um potenzielle Angriffe zu verhindern.
Professionelle Hilfe erwünscht?
Sentiguard ist spezialisiert auf Notfallhilfe nach Cyberattacken, IT Sicherheitsbeauftragte und IT Sicherheitskonzepte nach BSI Standard. Haben Sie Fragen und wünschen Sie unverbindliche Beratung, dann melden Sie sich gerne bei uns: