Изследователите откриват уязвимости в уеб приложението за управление на фитнес залата Wodify, използвано с CrossFit

Изследовател на киберсигурността има откри няколко нови уязвимости в уеб приложението за управление на фитнес на Wodify, което дава на нападателя възможност да извлича данни за тренировка, лична информация и дори финансова информация.

Уеб приложението за управление на фитнес залата на Wodify се използва широко сред кутиите на CrossFit в САЩ и други страни, за да им помогне да растат. Софтуерът се използва в повече от 5000 спортни зали за неща като планиране на класове и фактуриране.

Но Дардан Пребреза, старши консултант по сигурността на Bishop Fox, обясни в доклад, че списък с уязвимости „позволява четене и промяна на тренировките на всички потребители на платформата Wodify“.

Чрез атаката достъпът „не беше ограничен до една фитнес зала/кутия/наемател, така че беше възможно да се изброят всички записи в световен мащаб и да се променят“, добави Пребреза, отбелязвайки, че нападателят може да отвлече сесия на потребител, да открадне хеширана парола, или JWT на потребителя чрез уязвимостта за разкриване на чувствителна информация.

“По този начин комбинация от тези три уязвимости може да има сериозен бизнес и репутационен риск за Wodify, тъй като би позволил на удостоверен потребител да променя всички свои производствени данни, но и да извлича чувствителни PII”, каза Пребреза.

„Освен това, компрометирането на администраторски потребителски акаунти във фитнес залата може да позволи на нападател да промени настройките за плащане и по този начин да има пряко финансово въздействие, тъй като нападателят в крайна сметка може да получи заплащане от членовете на фитнес залата вместо от законния собственик (и) на фитнес. нападателят може да чете и променя всички данни за тренировки на други потребители, да извлича PII и в крайна сметка да получи достъп до административни акаунти с цел финансова печалба. ”

Prebreza оцени високото ниво на риск от уязвимост, тъй като това може да причини сериозни щети на репутацията и финансови последици за фитнес зали и кутии на Wodify, които биха могли да бъдат подправени в настройките им за плащане.

Wodify не отговори на искането на ZDNet за коментар относно уязвимостите.

Докладът на Prebreza включва график, който показва, че уязвимостите са били открити на 7 януари, преди Wodify да се свърже с него на 12 февруари. Wodify призна уязвимостите на 23 февруари, но не отговори на допълнителни искания за информация.

Свързаха се с изпълнителния директор на Wodify Амит Шах и той свърза екипа на Bishop Fox с ръководителя на технологиите на Wodify, който провежда срещи с компанията през април за решаване на проблемите.

На 19 април Wodify потвърди, че уязвимостите ще бъдат отстранени в рамките на 90 дни, но оттам многократно отмества датата на корекцията за проблемите. Първо компанията обеща да пусне пластир през май, но те го отложиха до 11 юни, преди да го отложат отново до 26 юни.

Wodify не отговори на епископ Фокс още един месец, като призна, че отлагат пластира обратно на 5 август.

Изминаха повече от половин година от разкриването на уязвимостите, епископ Фокс каза, че те са казали на Wodify, че ще разкрият публично уязвимостите на 6 август, като в крайна сметка ще публикуват доклада на 13 август.

Wodify не потвърди дали все още има корекция, а Bishop Fox призова клиентите да се свържат с компанията.

„Приложението Wodify е повлияно от недостатъчните контроли за оторизация, което позволява на упълномощен нападател да разкрива и променя данните за тренировки на всеки друг потребител на платформата Wodify“, обяснява Пребреза.

“Примерът за промяна на данните в доклада е извършен със съгласие в акаунта на сътрудник, а полезният товар с доказателство за концепцията е премахнат след екранната снимка. Възможността за промяна на данни означава, че нападателят може да промени всички резултати от тренировка и да вмъкне злонамерен код за атака на други потребители на Wodify, включително администратори на инстанции или фитнес. “

Уязвимостите варират от недостатъчен контрол при оторизиране до разкриване на чувствителна информация и съхранени скриптове между сайтове, които могат да бъдат използвани при други атаки, според проучването.

Докато нападателите биха могли да променят всички тренировъчни данни, снимки и имена на потребителите на Wodify, атаката също така позволява възможността да се вмъкне злонамерен код, който може да бъде последван от други потребители на Wodify, включително администраторите на фитнес.

Пребреза каза, че приложението Wodify е уязвимо за четири екземпляра съхранени скриптове за различни сайтове, един от които „позволява на нападател да вмъква злонамерен полезен товар JavaScript в резултатите от тренировките“.

“Всеки потребител, който е видял страницата със съхранен полезен товар, ще изпълни JavaScript и ще извърши действия от името на нападателя. Ако по този начин нападателят получи административен достъп до определена фитнес зала, той би могъл да направи промени в настройките за плащане, като както и достъп и актуализиране на личната информация на други потребители “, отбеляза Пребреза.

“Алтернативно, нападателят може да създаде полезен товар, за да зареди външен JavaScript файл, за да извърши действия от името на потребителя. Например, полезният товар може да промени имейла на жертвата и да поеме акаунта, като зададе нулиране на паролата (забележка: промяна на имейла адрес не изисква предоставяне на текущата парола.) Нападателят може по подобен начин да използва уязвимостта на чувствителната информация за разкриване на информация, за да извлече хеширана парола или JWT на жертвата (т.е. маркер за сесия). “

Ерих Крон, защитник на осведомеността за сигурността в KnowBe4, каза, че това е жалък случай, когато една организация не приема сериозно разкриването на уязвимост.

„Въпреки че първоначалната мисъл просто да изтриете нечия история на тренировки може да изглежда незначителна за мнозина, фактът, че нападателят има достъп до акаунта и свързаната с него информация, вероятно включваща начини на плащане и лична информация, е реален проблем“, каза Крон.

„Дори само информацията за тренировката може да бъде чувствителна, ако грешен човек я използва за намиране на модели, например дните и часовете, когато един изпълнителен директор на дадена организация обикновено работи и ги използва за злонамерени цели. Организациите, които създават софтуер, винаги трябва да имат процес на място за справяне с докладвани уязвимости като тази и трябва да ги вземе на сериозно. “

Публикациите се превеждат автоматично с google translate

Източник: www.zdnet.com