< p class = "meta"> Af Jonathan Greig | 13. august 2021 – 19:44 GMT (20:44 BST) | Emne: Sikkerhed
En cybersikkerhedsforsker har opdaget flere nye sårbarheder i Wodifys websted til gymnastikstyring, der giver en angriber mulighed for at udtrække træningsdata, personlige oplysninger og endda finansielle oplysninger.
Wodifys webapplikation til gymnastikstyring bruges i vid udstrækning blandt CrossFit -bokse i USA og andre lande for at hjælpe dem med at vokse. Softwaren er i brug på mere end 5.000 fitnesscentre til ting som timeplanlægning og fakturering.
Men Dardan Prebreza, senior sikkerhedskonsulent for Bishop Fox, forklarede i en rapport, at en skare af sårbarheder “tillod at læse og ændre træningen for alle brugere af Wodify -platformen.”
Gennem angrebet var adgang “ikke begrænset til et enkelt motionscenter/kasse/lejer, så det var muligt at optælle alle poster globalt og ændre dem,” tilføjede Prebreza og bemærkede, at en angriber kunne kapre en brugers session, stjæle en hash -adgangskode eller brugerens JWT gennem sårbarheden om udsendelse af følsomme oplysninger.
“Således kan en kombination af disse tre sårbarheder have en alvorlig forretnings- og omdømningsrisiko for Wodify, da det ville give en godkendt bruger mulighed for at ændre alle deres produktionsdata, men også udtrække følsom PII,” sagde Prebreza.
“Desuden kan kompromitterende administrative gym -brugerkonti give en hacker mulighed for at ændre betalingsindstillingerne og dermed have en direkte økonomisk indvirkning, da angriberen i sidste ende kunne få betalt af gymnastiksalmedlemmerne i stedet for de/de legitime træningsejere. En godkendt angriberen kunne læse og ændre alle andre brugeres træningsdata, udtrække PII og til sidst få adgang til administrative konti med det formål at opnå økonomiske gevinster. ”
Prebreza vurderede sårbarhedsrisikoen højt, fordi det kunne forårsage alvorlig omdømmeskade og økonomiske konsekvenser for Wodify -fitnesscentre og -bokse, der kunne manipulere deres betalingsindstillinger.
Wodify reagerede ikke på ZDNets anmodning om kommentarer om sårbarhederne.
Prebrezas rapport indeholder en tidslinje, der viser, at sårbarhederne blev opdaget den 7. januar, før Wodify blev kontaktet den 12. februar. Wodify anerkendte sårbarhederne den 23. februar, men reagerede ikke på yderligere anmodninger om oplysninger.
Wodify CEO Ameet Shah blev kontaktet, og han forbandt Bishop Fox -teamet med Wodifys teknologichef, der holdt møder med virksomheden i hele april for at løse problemerne.
Den 19. april bekræftede Wodify, at sårbarhederne ville blive rettet inden for 90 dage, men derfra gentagne gange skubbet patchdatoen tilbage for problemerne. Først lovede virksomheden at frigive en patch i maj, men de skubbede den til 11. juni, før de skubbede den igen til 26. juni.
Wodify reagerede ikke på biskop Fox i endnu en måned og indrømmede, at de skubbede patch'en tilbage til 5. august.
Med mere end et halvt år gået siden sårbarhederne blev afdækket, sagde biskop Fox, at de fortalte Wodify, at de ville offentliggøre sårbarhederne den 6. august og til sidst offentliggjorde rapporten den 13. august.
Wodify har ikke bekræftet, om der er faktisk en patch endnu, og Bishop Fox opfordrede kunderne til at komme i kontakt med virksomheden.
“Wodify -applikationen blev påvirket af utilstrækkelige autorisationskontroller, så en godkendt angriber kunne afsløre og ændre enhver anden brugers træningsdata på Wodify -platformen,” forklarede Prebreza.
“Eksemplet på dataændring i rapporten blev udført med samtykke på en samarbejdspartners konto, og proof-of-concept nyttelasten blev fjernet efter skærmbilledet. Muligheden for at ændre data betyder imidlertid, at en angriber kunne ændre alle træningsresultater og indsætte ondsindet kode for at angribe andre Wodify-brugere, herunder instans- eller gym-administratorer. “
Sårbarhederne strakte sig fra utilstrækkelige autorisationskontroller til afsløring af følsomme oplysninger og lagret cross-site scripting, som kan udnyttes i andre angreb, ifølge undersøgelse.
Selvom angribere ville være i stand til at ændre alle en Wodify -brugers træningsdata, profilbilleder og navne, giver angrebet også mulighed for at indsætte ondsindet kode, der kan gå efter andre Wodify -brugere, herunder gymadministratorer.
Prebreza sagde, at Wodify-applikationen var sårbar over for fire tilfælde af gemt cross-site scripting, hvoraf den ene “tillod en angriber at indsætte ondsindet JavaScript-nyttelast i træningsresultater.”
“Enhver bruger, der så siden med den lagrede nyttelast, ville udføre JavaScript og udføre handlinger på angriberens vegne. Hvis en angriber fik administrativ adgang over et bestemt motionscenter på denne måde, ville de kunne foretage ændringer i betalingsindstillinger, som samt få adgang til og opdatere andre brugeres personlige oplysninger, “bemærkede Prebreza.
“Alternativt kunne en angriber lave en nyttelast for at indlæse en ekstern JavaScript -fil for at udføre handlinger på vegne af brugeren. For eksempel kan nyttelasten ændre et offeres e -mail og overtage kontoen ved at udstede en nulstilling af adgangskode (Bemærk: ændring af e -mailen adresse krævede ikke at oplyse den aktuelle adgangskode). En angriber kunne på samme måde udnytte sårbarheden over for sensitiv information til at hente et ofrets hashede kodeord eller JWT (dvs. sessionstoken). “
Erich Kron, advokat for sikkerhedsbevidsthed hos KnowBe4, sagde, at dette var et uheldigt tilfælde, hvor en organisation ikke tog seriøs sårbarhed alvorligt.
“Selvom den første tanke om bare at tørre en persons træningshistorie kan virke ubetydelig for mange, er det faktum, at en angriber kan få adgang til kontoen og tilhørende oplysninger, muligvis inklusive betalingsmetoder og personlige oplysninger, et reelt problem,” sagde Kron.
“Selv bare træningsoplysningerne kan være følsomme, hvis den forkerte person bruger dem til at finde mønstre, f.eks. De dage og tidspunkter, som en administrerende direktør for en organisation typisk træner og bruger dem til ondsindede formål. Organisationer, der opretter software, bør altid have en proces på plads til at håndtere rapporterede sårbarheder som denne og skal tage dem alvorligt. “
Sikkerhed
Kaseya ransomware -angreb: Hvad du har brug for at vide Surfshark VPN -anmeldelse: Det er billigt , men er det godt? De bedste browsere til beskyttelse af fortrolige oplysninger Cybersikkerhed 101: Beskyt dit privatliv Den bedste antivirussoftware og apps De bedste VPN'er til erhverv og hjemmebrug De bedste sikkerhedsnøgler til 2FA Hvordan ofre, der betaler løsesummen, fremmer flere angreb (ZDNet YouTube)
Relaterede emner :
Digital transformationssikkerhed TV-datastyring CXO-datacentre 