< p class="meta"> Par Jonathan Greig | 13 août 2021 — 19:44 GMT (20:44 BST) | Sujet : Sécurité
Un chercheur en cybersécurité a découvert plusieurs nouvelles vulnérabilités dans l'application Web de gestion de salle de sport de Wodify qui donne à un attaquant la possibilité d'extraire des données d'entraînement, des informations personnelles et même des informations financières.
L'application Web de gestion de salle de sport de Wodify est largement utilisée parmi les box CrossFit aux États-Unis et dans d'autres pays pour les aider à grandir. Le logiciel est utilisé dans plus de 5 000 gymnases pour des choses comme la planification des cours et la facturation.
Mais Dardan Prebreza, consultant senior en sécurité pour Bishop Fox, a expliqué dans un rapport qu'une liste de vulnérabilités “permettait de lire et de modifier les entraînements de tous les utilisateurs de la plate-forme Wodify”.
Grâce à l'attaque, l'accès “n'était pas limité à un seul gymnase/box/locataire, il était donc possible d'énumérer toutes les entrées globalement et de les modifier”, a ajouté Prebreza, notant qu'un attaquant pouvait détourner le session, voler un mot de passe haché ou le JWT de l'utilisateur via la vulnérabilité de divulgation d'informations sensibles.
“Ainsi, une combinaison de ces trois vulnérabilités pourrait présenter un risque commercial et de réputation grave pour Wodify, car elle permettrait à un utilisateur authentifié de modifier toutes ses données de production, mais également d'extraire des informations personnelles sensibles”, a déclaré Prebreza.
“De plus, la compromission des comptes d'utilisateurs administratifs du gymnase pourrait permettre à un attaquant de modifier les paramètres de paiement et ainsi avoir un impact financier direct, car l'attaquant pourrait éventuellement être payé par les membres du gymnase au lieu du ou des propriétaires légitimes du gymnase. l'attaquant pourrait lire et modifier toutes les données d'entraînement des autres utilisateurs, extraire les informations personnelles et éventuellement accéder aux comptes administratifs dans le but de réaliser des gains financiers.
Prebreza a évalué le niveau de risque de vulnérabilité comme étant élevé, car cela pourrait causer de graves dommages à la réputation et des ramifications financières pour les gymnases et les box Wodify qui pourraient voir leurs paramètres de paiement altérés.
Wodify n'a pas répondu à la demande de commentaires de ZDNet sur les vulnérabilités.
Le rapport de Prebreza comprend une chronologie qui montre que les vulnérabilités ont été découvertes le 7 janvier avant que Wodify ne soit contacté le 12 février. Wodify a reconnu les vulnérabilités le 23 février mais n'a pas répondu à d'autres demandes d'informations.
Le PDG de Wodify, Ameet Shah, a été contacté et il a mis l'équipe de Bishop Fox en contact avec le responsable de la technologie de Wodify, qui a tenu des réunions avec l'entreprise tout au long du mois d'avril pour résoudre les problèmes.
Le 19 avril, Wodify a confirmé que les vulnérabilités seraient corrigées dans les 90 jours, mais à partir de là, a repoussé à plusieurs reprises la date du correctif pour les problèmes. Tout d'abord, la société s'est engagée à publier un correctif en mai, mais elle l'a repoussé au 11 juin avant de le repousser au 26 juin.
Wodify n'a pas répondu à Bishop Fox avant un mois, admettant qu'ils poussaient le correctif. retour au 5 août.
Plus de six mois se sont écoulés depuis que les vulnérabilités ont été découvertes, Bishop Fox a déclaré qu'ils avaient dit à Wodify qu'ils divulgueraient publiquement les vulnérabilités le 6 août, pour finalement publier le rapport le 13 août.
Wodify n'a pas confirmé s'il y avait est en fait un patch encore, et Bishop Fox a exhorté les clients à entrer en contact avec la société.
“L'application Wodify a été affectée par des contrôles d'autorisation insuffisants, permettant à un attaquant authentifié de divulguer et de modifier les données d'entraînement de tout autre utilisateur sur la plate-forme Wodify”, a expliqué Prebreza.
“L'exemple de modification de données dans le rapport a été effectué avec le consentement sur le compte d'un collaborateur, et la charge utile de preuve de concept a été supprimée à la suite de la capture d'écran. Cependant, la possibilité de modifier les données signifie qu'un attaquant pourrait modifier tous les résultats d'entraînement et insérer des code pour attaquer d'autres utilisateurs de Wodify, y compris les administrateurs d'instances ou de gymnases.”
Les vulnérabilités allaient de contrôles d'autorisation insuffisants à la divulgation d'informations sensibles et aux scripts intersites stockés, qui peuvent être exploités dans d'autres attaques, selon le étudier.
Alors que les attaquants pourraient modifier toutes les données d'entraînement, les photos de profil et les noms d'un utilisateur de Wodify, l'attaque permet également d'insérer un code malveillant qui pourrait s'attaquer à d'autres utilisateurs de Wodify, y compris les administrateurs de salle de sport.
Prebreza a déclaré que l'application Wodify était vulnérable à quatre instances de scripts intersites stockés, dont l'une “autorisait un attaquant à insérer des charges utiles JavaScript malveillantes dans les résultats de l'entraînement”.
« Tout utilisateur qui a consulté la page avec la charge utile stockée exécuterait le JavaScript et effectuerait des actions au nom de l'attaquant. Si un attaquant obtient un accès administratif à un gymnase spécifique de cette manière, il pourra modifier les paramètres de paiement, comme ainsi que l'accès et la mise à jour des informations personnelles des autres utilisateurs », a noté Prebreza.
« Alternativement, un attaquant pourrait créer une charge utile pour charger un fichier JavaScript externe afin d'effectuer des actions au nom de l'utilisateur. Par exemple, la charge utile pourrait modifier l'adresse e-mail d'une victime et prendre le contrôle du compte en réinitialisant le mot de passe (remarque : changer l'adresse e-mail ne nécessitait pas de fournir le mot de passe actuel). Un attaquant pourrait également exploiter la vulnérabilité de divulgation d'informations sensibles pour récupérer le mot de passe haché ou le JWT (c'est-à-dire le jeton de session) d'une victime. “
Erich Kron, défenseur de la sensibilisation à la sécurité chez KnowBe4, a déclaré qu'il s'agissait d'un cas malheureux d'une organisation ne prenant pas au sérieux une divulgation de vulnérabilité.
“Alors que l'idée initiale de simplement effacer l'historique d'entraînement de quelqu'un peut sembler insignifiante pour beaucoup, le fait qu'un attaquant puisse accéder au compte et aux informations associées, y compris éventuellement les méthodes de paiement et les informations personnelles, est un réel problème”, a déclaré Kron.
« Même les informations d'entraînement peuvent être sensibles si la mauvaise personne les utilise pour trouver des modèles, par exemple les jours et les heures auxquels un PDG d'une organisation travaille généralement et les utilise à des fins malveillantes. Les organisations qui créent des logiciels doivent toujours avoir un processus en place pour faire face aux vulnérabilités signalées comme celle-ci, et doit les prendre au sérieux.”
Sécurité
Attaque de ransomware Kaseya : ce que vous devez savoir Revue de Surfshark VPN : c'est bon marché , mais est-ce bon ? Les meilleurs navigateurs pour la confidentialité Cybersécurité 101 : protégez votre vie privée Les meilleurs logiciels et applications antivirus Les meilleurs VPN pour les entreprises et les particuliers Les meilleures clés de sécurité pour 2FA Comment les victimes qui paient la rançon encouragent davantage d'attaques (ZDNet YouTube)
Sujets connexes :
Transformation numérique Sécurité Gestion des données TV Centres de données CXO 