< p class = "meta"> Av Jonathan Greig | 13. august 2021 – 19:44 GMT (20:44 BST) | Tema: Sikkerhet
En cybersikkerhetsforsker har oppdaget flere nye sårbarheter i Wodifys treningsprogram for webadministrasjon som gir en angriper muligheten til å trekke ut treningsdata, personlig informasjon og til og med økonomisk informasjon.
Wodifys webadministrasjon for treningsadministrasjon brukes mye blant CrossFit -bokser i USA og andre land for å hjelpe dem med å vokse. Programvaren er i bruk på mer enn 5000 treningssentre for ting som timeplanlegging og fakturering.
Men Dardan Prebreza, senior sikkerhetskonsulent for Bishop Fox, forklarte i en rapport at en rekke sårbarheter “tillot lesing og endring av treningsøktene til alle brukere av Wodify -plattformen.”
Gjennom angrepet var tilgangen “ikke begrenset til et enkelt treningsstudio/boks/leietaker, så det var mulig å telle alle oppføringer globalt og endre dem,” la Prebreza til og bemerket at en angriper kunne kapre en brukers økt, stjele et hash -passord eller brukerens JWT gjennom sårbarheten for avsløring av sensitiv informasjon.
“En kombinasjon av disse tre sårbarhetene kan derfor ha en alvorlig forretnings- og omdømmemessig risiko for Wodify, ettersom det vil tillate en godkjent bruker å endre alle produksjonsdataene sine, men også trekke ut sensitiv PII,” sa Prebreza.
“I tillegg kan kompromitterende administrative brukerkontoer for treningsstudioet tillate en angriper å endre betalingsinnstillingene og dermed ha en direkte økonomisk innvirkning, ettersom angriperen til slutt kan få betalt av treningsmedlemmene i stedet for den/de legitime treningshaverne. En godkjent angriperen kunne lese og endre alle andre brukeres treningsdata, trekke ut PII og til slutt få tilgang til administrative kontoer med sikte på økonomiske gevinster. ”
Prebreza vurderte risikonivået for sårbarhet høyt fordi det kan forårsake alvorlig omdømmeskade og økonomiske konsekvenser for Wodify treningssentre og bokser som kan tukle med betalingsinnstillingene.
Wodify svarte ikke på ZDNets forespørsel om kommentar om sårbarhetene.
Prebrezas rapport inneholder en tidslinje som viser at sårbarhetene ble oppdaget 7. januar før Wodify ble kontaktet 12. februar. Wodify erkjente sårbarhetene 23. februar, men svarte ikke på ytterligere forespørsler om informasjon.
Wodify -sjef Ameet Shah ble kontaktet, og han koblet Bishop Fox -teamet til Wodifys teknologisjef, som holdt møter med selskapet i hele april for å ta opp problemene.
19. april bekreftet Wodify at sårbarhetene ville bli løst innen 90 dager, men derfra gjentatte ganger presset ned oppdateringsdatoen for problemene. Først lovet selskapet å slippe en oppdatering i mai, men de presset den til 11. juni før de presset den igjen til 26. juni.
Wodify svarte ikke på Bishop Fox på en måned til og innrømmet at de presset lappen tilbake til 5. august.
Med mer enn et halvt år siden sårbarhetene ble avdekket, sa biskop Fox at de sa til Wodify at de ville offentliggjøre sårbarhetene 6. august, og til slutt ga ut rapporten 13. august.
Wodify har ikke bekreftet om det er faktisk en oppdatering ennå, og Bishop Fox oppfordret kundene til å ta kontakt med selskapet.
“Wodify -applikasjonen ble påvirket av utilstrekkelige autorisasjonskontroller, slik at en godkjent angriper kan avsløre og endre andre brukers treningsdata på Wodify -plattformen,” forklarte Prebreza.
“Eksempelet på dataendring i rapporten ble utført med samtykke på en samarbeidspartners konto, og nyttelasten for proof-of-concept ble fjernet etter skjermbildet. Imidlertid betyr muligheten for å endre data at en angriper kan endre alle treningsresultater og sette inn ondsinnet kode for å angripe andre Wodify-brukere, inkludert forekomst- eller treningsadministratorer. “
Sårbarhetene varierte fra utilstrekkelige autorisasjonskontroller til avsløring av sensitiv informasjon og lagret kryssoversikt over skript, som kan utnyttes i andre angrep, ifølge studere.
Selv om angriperne ville kunne endre alle Wodify -brukernes treningsdata, profilbilder og navn, gir angrepet også mulighet til å sette inn ondsinnet kode som kan gå etter andre Wodify -brukere, inkludert treningsadministratorer.
Prebreza sa at Wodify-programmet var sårbart for fire forekomster av lagret skripting på tvers av nettsteder, hvorav en “tillot en angriper å sette inn ondsinnet JavaScript-nyttelast i treningsresultater.”
“Enhver bruker som så på siden med den lagrede nyttelasten, ville utføre JavaScript og utføre handlinger på vegne av angriperen. Hvis en angriper fikk administrativ tilgang over et bestemt treningsstudio på denne måten, ville de kunne gjøre endringer i betalingsinnstillinger, som samt få tilgang til og oppdatere andre brukeres personlige informasjon, “bemerket Prebreza.
“Alternativt kan en angriper lage en nyttelast for å laste inn en ekstern JavaScript -fil for å utføre handlinger på vegne av brukeren. For eksempel kan nyttelasten endre offerets e -post og overta kontoen ved å utstede et tilbakestilling av passord (merk: endring av e -posten adressen krevde ikke å oppgi det gjeldende passordet.) En angriper kan på samme måte utnytte sårbarheten for avsløring av sensitiv informasjon for å hente offerets hashed -passord eller JWT (dvs. økttoken). “
Erich Kron, talsmann for sikkerhetsbevissthet i KnowBe4, sa at dette var et uheldig tilfelle av at en organisasjon ikke tok en sårbarhetsopplysning på alvor.
“Selv om den første tanken på å bare tørke noens treningshistorie kan virke ubetydelig for mange, er det faktum at en angriper kan få tilgang til kontoen og tilhørende informasjon, muligens inkludert betalingsmetoder og personlig informasjon, et reelt problem,” sa Kron.
“Selv bare treningsinformasjonen kan være sensitiv hvis feil person bruker den til å finne mønstre, for eksempel dager og tider en administrerende direktør for en organisasjon vanligvis trener, og bruker den til ondsinnede formål. Organisasjoner som lager programvare bør alltid ha en prosess på plass for å håndtere rapporterte sårbarheter som dette, og må ta dem på alvor. “
Sikkerhet
Kaseya ransomware -angrep: Det du trenger å vite Surfshark VPN -anmeldelse: Det er billig , men er det bra? De beste nettleserne for personvern Cyber security 101: Beskytt personvernet ditt Den beste antivirusprogramvaren og appene De beste VPN -ene for forretninger og hjemmebruk De beste sikkerhetsnøklene for 2FA Hvordan ofre som betaler løsepenger oppfordrer til flere angrep (ZDNet YouTube)
Relaterte emner :
Digital transformasjonssikkerhet TV Datahåndtering CXO datasentre 