< p class="meta"> Door Jonathan Greig | 13 augustus 2021 — 19:44 GMT (20:44 BST) | Onderwerp: Beveiliging
Een onderzoeker op het gebied van cyberbeveiliging heeft verschillende nieuwe kwetsbaarheden ontdekt in de webtoepassing voor sportschoolbeheer van Wodify die een aanvaller de mogelijkheid geeft om trainingsgegevens, persoonlijke informatie en zelfs financiële informatie te extraheren.
Wodify's webapplicatie voor sportschoolbeheer wordt veel gebruikt door CrossFit-boxen in de VS en andere landen om hen te helpen groeien. De software wordt in meer dan 5.000 sportscholen gebruikt voor zaken als lesroosters en facturering.
Maar Dardan Prebreza, senior beveiligingsconsulent voor Bishop Fox, legde in een rapport uit dat een reeks kwetsbaarheden “het lezen en wijzigen van de trainingen van alle gebruikers van het Wodify-platform mogelijk maakte”.
Door de aanval was de toegang “niet beperkt tot een enkele sportschool/box/huurder, dus het was mogelijk om alle items globaal op te sommen en aan te passen”, voegde Prebreza eraan toe en merkte op dat een aanvaller de gegevens van een gebruiker kon kapen. sessie, een gehasht wachtwoord of de JWT van de gebruiker stelen via het beveiligingslek met betrekking tot het vrijgeven van gevoelige informatie.
“Dus een combinatie van deze drie kwetsbaarheden zou een ernstig zakelijk en reputatierisico voor Wodify kunnen hebben, omdat het een geverifieerde gebruiker in staat zou stellen al zijn productiegegevens te wijzigen, maar ook gevoelige PII te extraheren,” zei Prebreza.
“Bovendien kan het compromitteren van gebruikersaccounts van de administratieve sportschool een aanvaller in staat stellen de betalingsinstellingen te wijzigen, en dus een directe financiële impact hebben, omdat de aanvaller uiteindelijk kan worden betaald door de sportschoolleden in plaats van door de legitieme sportschooleigenaar(s). aanvaller kan de trainingsgegevens van alle andere gebruikers lezen en wijzigen, PII extraheren en uiteindelijk toegang krijgen tot beheerdersaccounts met als doel financieel gewin.”
Prebreza schatte het kwetsbaarheidsrisico hoog in omdat het ernstige reputatieschade en financiële gevolgen zou kunnen hebben voor Wodify-sportscholen en -boxen waarvan de betalingsinstellingen zouden kunnen worden gemanipuleerd.
Wodify heeft niet gereageerd op ZDNet's verzoek om commentaar over de kwetsbaarheden.
Het rapport van Prebreza bevat een tijdlijn die laat zien dat de kwetsbaarheden op 7 januari werden ontdekt voordat er op 12 februari contact met Wodify werd opgenomen. Wodify erkende de kwetsbaarheden op 23 februari, maar reageerde niet op verdere verzoeken om informatie.
Er werd contact opgenomen met Wodify-CEO Ameet Shah en hij verbond het Bishop Fox-team met Wodify's hoofd technologie, die in april bijeenkomsten met het bedrijf hield om de problemen aan te pakken.
Op 19 april bevestigde Wodify dat de kwetsbaarheden binnen 90 dagen zouden worden verholpen, maar vanaf dat moment werd de patchdatum voor de problemen herhaaldelijk verschoven. Eerst beloofde het bedrijf om in mei een patch uit te brengen, maar ze duwden het uit tot 11 juni voordat ze het opnieuw tot 26 juni pushten.
Wodify reageerde nog een maand niet op bisschop Fox en gaf toe dat ze de patch aan het pushen waren terug naar 5 augustus
Met meer dan een half jaar sinds de kwetsbaarheden werden ontdekt, zei bisschop Fox dat ze Wodify hadden verteld dat ze de kwetsbaarheden op 6 augustus openbaar zouden maken en uiteindelijk het rapport op 13 augustus zouden vrijgeven.
Wodify heeft niet bevestigd of er is eigenlijk nog een patch, en Bishop Fox drong er bij klanten op aan om contact op te nemen met het bedrijf.
“De Wodify-applicatie werd beïnvloed door onvoldoende autorisatiecontroles, waardoor een geverifieerde aanvaller de trainingsgegevens van andere gebruikers op het Wodify-platform kon vrijgeven en wijzigen”, legt Prebreza uit.
“Het voorbeeld van de gegevenswijziging in het rapport is uitgevoerd met toestemming van het account van een medewerker en de proof-of-concept-payload is verwijderd na de schermafbeelding. De mogelijkheid om gegevens te wijzigen betekent echter dat een aanvaller alle trainingsresultaten kan wijzigen en kwaadwillende code om andere Wodify-gebruikers aan te vallen, inclusief instantie- of sportschoolbeheerders.”
De kwetsbaarheden varieerden van onvoldoende autorisatiecontroles tot het vrijgeven van gevoelige informatie en opgeslagen cross-site scripting, die volgens de studie.
Hoewel aanvallers alle trainingsgegevens, profielfoto's en namen van een Wodify-gebruiker zouden kunnen wijzigen, biedt de aanval ook de mogelijkheid om kwaadaardige code in te voegen die achter andere Wodify-gebruikers aan kan gaan, waaronder sportschoolbeheerders.
Prebreza zei dat de Wodify-applicatie kwetsbaar was voor vier gevallen van opgeslagen cross-site scripting, waarvan er één “een aanvaller toestond kwaadaardige JavaScript-payloads in de trainingsresultaten in te voegen.”
“Elke gebruiker die de pagina met de opgeslagen payload heeft bekeken, zou het JavaScript uitvoeren en acties uitvoeren namens de aanvaller. Als een aanvaller op deze manier beheerderstoegang zou krijgen tot een specifieke sportschool, zou hij wijzigingen kunnen aanbrengen in de betalingsinstellingen, zoals evenals toegang tot de persoonlijke informatie van andere gebruikers en deze bijwerken”, merkte Prebreza op.
“Als alternatief kan een aanvaller een payload maken om een extern JavaScript-bestand te laden om namens de gebruiker acties uit te voeren. De payload kan bijvoorbeeld het e-mailadres van een slachtoffer wijzigen en het account overnemen door een wachtwoordreset uit te voeren (let op: het wijzigen van het e-mailadres adres vereist niet dat het huidige wachtwoord wordt opgegeven. Een aanvaller kan op dezelfde manier gebruikmaken van de kwetsbaarheid voor het vrijgeven van gevoelige informatie om het gehashte wachtwoord of JWT (dwz sessietoken) van een slachtoffer op te halen.”
Erich Kron, pleitbezorger voor beveiligingsbewustzijn bij KnowBe4, zei dat dit een ongelukkig geval was van een organisatie die de openbaarmaking van een kwetsbaarheid niet serieus nam.
“Hoewel de eerste gedachte om iemands trainingsgeschiedenis te wissen voor velen misschien onbeduidend lijkt, is het feit dat een aanvaller toegang heeft tot het account en de bijbehorende informatie, mogelijk inclusief betalingsmethoden en persoonlijke informatie, een echt probleem”, zei Kron.
“Zelfs alleen de trainingsinformatie kan gevoelig zijn als de verkeerde persoon deze gebruikt om patronen te vinden, bijvoorbeeld de dagen en tijden waarop een CEO van een organisatie normaal werkt, en deze voor kwaadwillende doeleinden gebruikt. Organisaties die software maken, moeten altijd een proces hebben aanwezig voor het omgaan met gerapporteerde kwetsbaarheden zoals deze, en moet ze serieus nemen.”
Beveiliging
Kaseya ransomware-aanval: wat u moet weten Surfshark VPN-beoordeling: het is goedkoop , maar is het goed? De beste browsers voor privacy Cyberbeveiliging 101: bescherm uw privacy De beste antivirussoftware en apps De beste VPN's voor zakelijk en thuisgebruik De beste beveiligingssleutels voor 2FA Hoe slachtoffers die het losgeld betalen meer aanvallen aanmoedigen (ZDNet YouTube)
Verwante onderwerpen :
Digitale transformatie Beveiliging Tv-gegevensbeheer CXO-datacenters 