< p class="meta"> Di Jonathan Greig | 13 agosto 2021 — 19:44 GMT (20:44 BST) | Argomento: sicurezza
Un ricercatore di sicurezza informatica ha scoperto diverse nuove vulnerabilità all'interno dell'applicazione web di gestione della palestra di Wodify che offre a un utente malintenzionato la possibilità di estrarre dati di allenamento, informazioni personali e persino informazioni finanziarie.
L'applicazione web per la gestione della palestra di Wodify è ampiamente utilizzata tra i box CrossFit negli Stati Uniti e in altri paesi per aiutarli a crescere. Il software è in uso in più di 5.000 palestre per cose come la programmazione e la fatturazione delle lezioni.
Ma Dardan Prebreza, consulente senior per la sicurezza di Bishop Fox, ha spiegato in un rapporto che una serie di vulnerabilità “ha permesso di leggere e modificare gli allenamenti di tutti gli utenti della piattaforma Wodify”.
Attraverso l'attacco, l'accesso “non era limitato a una singola palestra/box/tenant, quindi era possibile enumerare tutte le voci a livello globale e modificarle”, ha aggiunto Prebreza, osservando che un utente malintenzionato potrebbe dirottare il sessione, rubare una password con hash o il JWT dell'utente attraverso la vulnerabilità di divulgazione di informazioni sensibili.
“Pertanto, una combinazione di queste tre vulnerabilità potrebbe avere un grave rischio commerciale e reputazionale per Wodify, in quanto consentirebbe a un utente autenticato di modificare tutti i propri dati di produzione, ma anche di estrarre PII sensibili”, ha affermato Prebreza.
“Inoltre, la compromissione degli account degli utenti amministrativi della palestra potrebbe consentire a un utente malintenzionato di modificare le impostazioni di pagamento e, quindi, avere un impatto finanziario diretto, poiché l'attaccante potrebbe eventualmente essere pagato dai membri della palestra anziché dai legittimi proprietari della palestra. l'attaccante potrebbe leggere e modificare tutti i dati di allenamento degli altri utenti, estrarre PII e alla fine ottenere l'accesso agli account amministrativi con l'obiettivo di guadagni finanziari.”
Prebreza ha valutato il livello di rischio di vulnerabilità alto perché potrebbe causare gravi danni alla reputazione e conseguenze finanziarie per le palestre e i box di Wodify le cui impostazioni di pagamento potrebbero essere manomesse.
Wodify non ha risposto alla richiesta di ZDNet di commenti sulle vulnerabilità.
Il rapporto di Prebreza include una cronologia che mostra che le vulnerabilità sono state scoperte il 7 gennaio prima che Wodify fosse contattato il 12 febbraio. Wodify ha riconosciuto le vulnerabilità il 23 febbraio ma non ha risposto a ulteriori richieste di informazioni.
Il CEO di Wodify Ameet Shah è stato contattato e ha messo in contatto il team di Bishop Fox con il capo della tecnologia di Wodify, che ha tenuto incontri con l'azienda per tutto il mese di aprile per affrontare i problemi.
Il 19 aprile, Wodify ha confermato che le vulnerabilità sarebbero state risolte entro 90 giorni, ma da lì ha ripetutamente posticipato la data della patch per i problemi. In primo luogo la società si è impegnata a rilasciare una patch a maggio, ma l'hanno rimandata all'11 giugno prima di rimandarla nuovamente al 26 giugno.
Wodify non ha risposto a Bishop Fox per un altro mese, ammettendo che stavano spingendo la patch torna al 5 agosto
Dopo più di sei mesi dalla scoperta delle vulnerabilità, Bishop Fox ha dichiarato di aver comunicato a Wodify che avrebbe divulgato pubblicamente le vulnerabilità il 6 agosto, rilasciando infine il rapporto il 13 agosto.
Wodify non ha confermato se esistessero in realtà è ancora una patch e Bishop Fox ha invitato i clienti a mettersi in contatto con l'azienda.
“L'applicazione Wodify è stata interessata da controlli di autorizzazione insufficienti, consentendo a un utente malintenzionato di divulgare e modificare i dati di allenamento di qualsiasi altro utente sulla piattaforma Wodify”, ha spiegato Prebreza.
“L'esempio di modifica dei dati nel rapporto è stato eseguito con il consenso sull'account di un collaboratore e il payload di prova del concetto è stato rimosso dopo lo screenshot. Tuttavia, la possibilità di modificare i dati significa che un utente malintenzionato potrebbe modificare tutti i risultati dell'allenamento e inserire dannosi codice per attaccare altri utenti Wodify, inclusi gli amministratori di istanze o palestre.”
Le vulnerabilità andavano da controlli di autorizzazione insufficienti alla divulgazione di informazioni sensibili e scripting cross-site archiviati, che possono essere sfruttati in altri attacchi, secondo il studio.
Mentre gli aggressori sarebbero in grado di modificare tutti i dati di allenamento di un utente Wodify, le immagini del profilo e i nomi, l'attacco consente anche la possibilità di inserire codice dannoso che potrebbe colpire altri utenti Wodify, inclusi gli amministratori della palestra.
Prebreza ha affermato che l'applicazione Wodify era vulnerabile a quattro istanze di scripting tra siti archiviati, una delle quali “ha permesso a un utente malintenzionato di inserire payload JavaScript dannosi nei risultati dell'allenamento”.
“Qualsiasi utente che ha visualizzato la pagina con il payload memorizzato eseguirebbe JavaScript ed eseguirebbe azioni per conto dell'attaccante. Se un utente malintenzionato ottenesse l'accesso amministrativo su una palestra specifica in questo modo, sarebbe in grado di apportare modifiche alle impostazioni di pagamento, come nonché accedere e aggiornare le informazioni personali di altri utenti”, ha osservato Prebreza.
“In alternativa, un utente malintenzionato potrebbe creare un payload per caricare un file JavaScript esterno per eseguire azioni per conto dell'utente. Ad esempio, il payload potrebbe modificare l'e-mail di una vittima e assumere il controllo dell'account emettendo una reimpostazione della password (nota: cambiando l'e-mail indirizzo non richiedeva di fornire la password corrente). Analogamente, un utente malintenzionato potrebbe sfruttare la vulnerabilità della divulgazione di informazioni sensibili per recuperare la password con hash o JWT (ovvero token di sessione) di una vittima.”
Erich Kron, difensore della consapevolezza della sicurezza presso KnowBe4, ha affermato che questo è stato uno sfortunato caso di un'organizzazione che non ha preso sul serio una divulgazione di vulnerabilità.
“Anche se l'idea iniziale di cancellare semplicemente la cronologia degli allenamenti di qualcuno può sembrare insignificante per molti, il fatto che un utente malintenzionato possa accedere all'account e alle informazioni associate, inclusi eventualmente metodi di pagamento e informazioni personali, è un vero problema”, ha affermato Kron.
“Anche solo le informazioni sull'allenamento possono essere sensibili se la persona sbagliata le usa per trovare schemi, ad esempio i giorni e gli orari in cui un CEO di un'organizzazione lavora in genere e le usa per scopi dannosi. Le organizzazioni che creano software dovrebbero sempre avere un processo in atto per affrontare vulnerabilità segnalate come questa, e deve prenderle sul serio.”
Sicurezza
Attacco ransomware Kaseya: cosa devi sapere Recensione di Surfshark VPN: è economico , ma va bene? I migliori browser per la privacy Sicurezza informatica 101: proteggi la tua privacy I migliori software e app antivirus Le migliori VPN per uso aziendale e domestico Le migliori chiavi di sicurezza per 2FA Come le vittime che pagano il riscatto incoraggiano più attacchi (ZDNet YouTube)
Argomenti correlati :
Digital Transformation Security TV Data Management CXO Data Center 