< p class = "meta"> Av Jonathan Greig | 13 augusti 2021 – 19:44 GMT (20:44 BST) | Ämne: Säkerhet
En cybersäkerhetsforskare har upptäckt flera nya sårbarheter i Wodifys webbhanteringsprogram för gymhantering som ger en angripare möjlighet att extrahera träningsdata, personlig information och till och med ekonomisk information.
Wodifys webbapplikation för gymhantering används i stor utsträckning bland CrossFit -lådor i USA och andra länder för att hjälpa dem att växa. Programvaran används på mer än 5000 gym för saker som schemaläggning och fakturering.
Men Dardan Prebreza, senior säkerhetskonsult för Bishop Fox, förklarade i en rapport att en rad sårbarheter “tillät att läsa och ändra träningen för alla användare av Wodify -plattformen.”
Genom attacken var åtkomsten “inte begränsad till ett enda gym/box/hyresgäst, så det var möjligt att räkna upp alla poster globalt och ändra dem”, tillade Prebreza och noterade att en angripare kunde kapa en användares session, stjäla ett hashat lösenord eller användarens JWT genom sårbarheten för känslig information.
“Således kan en kombination av dessa tre sårbarheter ha en allvarlig affärs- och omdömesrisk för Wodify, eftersom det skulle göra det möjligt för en autentiserad användare att ändra all sin produktionsdata, men också extrahera känslig PII”, säger Prebreza.
“Dessutom kan komprometter med administrativa gym -användarkonton göra det möjligt för en angripare att ändra betalningsinställningarna och därmed få en direkt ekonomisk inverkan, eftersom angriparen så småningom kan få betalt av gymmedlemmarna istället för de/de legitima gymägare. En autentiserad angriparen kunde läsa och ändra alla andra användares träningsdata, extrahera PII och så småningom få tillgång till administrativa konton i syfte att få ekonomiska vinster. ”
Prebreza bedömde sårbarhetsrisknivån hög eftersom den kan orsaka allvarliga anseendeskador och ekonomiska konsekvenser för Wodify -gym och lådor som kan få sina betalningsinställningar att manipuleras.
Wodify svarade inte på ZDNets begäran om kommentarer om sårbarheterna.
Prebrezas rapport innehåller en tidslinje som visar att sårbarheterna upptäcktes den 7 januari innan Wodify kontaktades den 12 februari. Wodify erkände sårbarheterna den 23 februari men svarade inte på ytterligare förfrågningar om information.
Wodify VD Ameet Shah kontaktades och han kopplade ihop Bishop Fox -teamet med Wodifys tekniska chef, som höll möten med företaget under hela april för att ta itu med frågorna.
Den 19 april bekräftade Wodify att sårbarheterna skulle åtgärdas inom 90 dagar, men därifrån upprepade gånger uppdaterade datumet för problemen för problemen. Först lovade företaget att släppa en lapp i maj men de drev den till den 11 juni innan de drev den igen till den 26 juni.
Wodify svarade inte på biskop Fox på ytterligare en månad och erkände att de tryckte på lappen tillbaka till den 5 augusti.
Med mer än ett halvt år sedan sårbarheterna avslöjades, sa biskop Fox att de berättade för Wodify att de skulle avslöja sårbarheterna den 6 augusti och så småningom släppte rapporten den 13 augusti.
Wodify har inte bekräftat om det finns är faktiskt en patch ännu, och Bishop Fox uppmanade kunderna att komma i kontakt med företaget.
“Wodify -applikationen påverkades av otillräckliga behörighetskontroller, så att en autentiserad angripare kan avslöja och ändra andra användares träningsdata på Wodify -plattformen”, förklarade Prebreza.
“Exempel på datamodifiering i rapporten utfördes med samtycke på en samarbetspartners konto, och proof-of-concept nyttolasten togs bort efter skärmdumpen. Möjligheten att ändra data innebär dock att en angripare kan ändra alla träningsresultat och infoga skadliga kod för att attackera andra Wodify-användare, inklusive instans- eller gymadministratörer. “
Sårbarheterna sträckte sig från otillräckliga behörighetskontroller till känslig information avslöjande och lagrad cross-site scripting, som kan utnyttjas i andra attacker, enligt studie.
Även om angripare skulle kunna ändra alla Wodify -användares träningsdata, profilbilder och namn, ger attacken också möjlighet att infoga skadlig kod som kan gå efter andra Wodify -användare, inklusive gymadministratörer.
Prebreza sa att Wodify-applikationen var sårbar för fyra fall av lagrad cross-site scripting, varav en “tillät en angripare att införa skadlig JavaScript-nyttolast i träningsresultaten.”
“Alla användare som tittade på sidan med den lagrade nyttolasten skulle köra JavaScript och utföra åtgärder för angriparens räkning. Om en angripare fick administrativ åtkomst över ett specifikt gym på detta sätt skulle de kunna göra betalningsinställningar, som samt få tillgång till och uppdatera andra användares personliga information “, konstaterade Prebreza.
“Alternativt kan en angripare skapa en nyttolast för att ladda en extern JavaScript -fil för att utföra åtgärder på användarens vägnar. Till exempel kan nyttolasten ändra ett offrets e -postadress och ta över kontot genom att utfärda en lösenordsåterställning (Obs: ändra e -postmeddelandet adressen krävde inte att det aktuella lösenordet lämnades). En angripare kan på samma sätt utnyttja sårbarheten för känslig information för avslöjande för att hämta offrets hashade lösenord eller JWT (dvs. sessionstoken). “
Erich Kron, förespråkare för säkerhetsmedvetenhet på KnowBe4, sa att detta var ett olyckligt fall där en organisation inte tog ett sårbarhetsrelaterat avslöjande på allvar.
“Även om den första tanken på att bara torka någons träningshistoria kan tyckas obetydlig för många, är det faktum att en angripare kan komma åt kontot och tillhörande information, eventuellt inklusive betalningsmetoder och personlig information, ett verkligt problem”, sa Kron.
“Även bara träningsinformationen kan vara känslig om fel person använder den för att hitta mönster, till exempel de dagar och tider som en VD för en organisation vanligtvis tränar och använder den för skadliga ändamål. Organisationer som skapar programvara bör alltid ha en process på plats för att hantera rapporterade sårbarheter som detta och måste ta dem på allvar. “
Säkerhet
Kaseya ransomware -attack: Vad du behöver veta Surfshark VPN -recension: Det är billigt , men är det bra? De bästa webbläsarna för integritet Cybersäkerhet 101: Skydda din integritet De bästa antivirusprogrammen och apparna De bästa VPN: erna för företag och hemmabruk De bästa säkerhetsnycklarna för 2FA Hur offer som betalar lösen uppmuntrar till fler attacker (ZDNet YouTube)
Relaterade ämnen :
Digital Transformation Security TV Datahantering CXO-datacenter 