Компания Cloud Security Company Wiz обнаружила критический недостаток в платформе кодирования Base44 от Wix44, которая позволила злоумышленникам обходить аутентификацию и получить доступ к приложениям для частных предприятий. Относительная простота обнаружения того, что должно было быть секретным идентификационным номером приложения, и использование его для получения доступа сделала уязвимость серьезной проблемой.
Содержание
Разоблаченный чувствительный идентификационный номер
По-видимому, случайно сгенерированный идентификационный номер, называемый APP_ID, был встроен в общественные пути, такие как URL-адрес приложения и файл manifest.json. Злоумышленники могут использовать эти данные для генерации проверенной учетной записи, даже когда регистрация пользователя была отключена. Это обходило элементы управления доступом платформы, в том числе Single Sign-On (SSO), который многие организации используют для обеспечения безопасности предприятия.
В отчете Wiz Security отмечается, как легко было найти конфиденциальные номера APP_ID:
«Когда мы перейдем к любому приложению, разработанному в дополнение к Base44, APP_ID немедленно виден в пути файла uri и manifest.json, все приложения имеют свое значение app_ids в своем манифестном пути: Manifests/{app_id}/manifest.json».
Создание мошеннического аккаунта было относительно тривиальным
Уязвимость не потребовала привилегированного доступа или глубокого технического опыта. После того, как злоумышленник определил действительный APP_ID, они могут использовать такие инструменты, как Swagger-UI с открытым исходным кодом для регистрации новой учетной записи, получить одноразовый пароль (OTP) по электронной почте, и проверить учетную запись без ограничений.
Оттуда вход в систему через SSO Flow предоставил полный доступ к внутренним системам, несмотря на то, что исходный доступ был ограничен конкретными пользователями или командами. Этот процесс выявил серьезный недостаток в предположении платформы, что APP_ID не будет подделан или повторно используется внешне.
Недостаток аутентификации
Многие из пострадавших приложений были построены с использованием популярной платформы кодирования Base44 для внутреннего использования, поддержки, таких как HR, чат -боты и базы знаний. Эти системы содержали личную информацию (PII) и использовались для HR -операций. Эксплойт позволил злоумышленникам обходить элементы управления идентификацией и получить доступ к приложениям для частных предприятий, потенциально подвергая конфиденциальные данные.
Wix исправляет недостаток в течение 24 часов
Компания по обеспечению безопасности облачной безопасности обнаружила недостаток, используя методический процесс изучения общественной информации для потенциальных слабых точек, в конечном итоге кульминацией которого является поиск обнаженных номеров APP_ID, и оттуда создавая рабочий процесс для получения доступа к учетным записям. Затем они связались с Wix, который сразу же исправил проблему.
Согласно отчету, опубликованному компанией безопасности, нет никаких доказательств того, что недостаток был эксплуатирован, и уязвимость была полностью рассмотрена.
Угроза целым экосистемам
В отчете Wiz Security отмечалось, что практика кодирования Vibe продолжается быстрыми темпами и не хватает времени для решения потенциальных проблем безопасности, выражая мнение, что он создает «системные риски» не только для отдельных приложений, но и для «целых экосистем».
Почему произошел этот инцидент с безопасностью?
Wix утверждает, что это упреждает безопасность
В отчете опубликовано заявление от Wix, в котором говорится, что они активно охраняют:
«Мы продолжаем вкладывать значительные средства в укрепление безопасности всех продуктов, а потенциальные уязвимости управляются активно. Мы по -прежнему привержены защите наших пользователей и их данных».
Безопасная компания говорит, что обнаружение недостатка было простым
В докладе Wiz описывается обнаружение как относительно простое дело, объясняющее, что они использовали «простые методы разведки», включая «пассивное и активное обнаружение субдоменов», которые являются широко доступными методами.
В отчете о безопасности объясняется, что использование недостатка было простым:
«То, что сделало эту уязвимость, особенно относилась к его простоте — требуя только базовых знаний API для использования. Этот низкий барьер для входа означал, что злоумышленники могли систематически поставить под угрозу несколько приложений по всей платформе с минимальной технической сложностью».
Существование этого отчета сами по себе вызывает обеспокоенность тем, что если обнаружение проблемы было «простым» и эксплуатируя его, имел «низкий барьер для входа», как получается, что Wix был активным, и все же это не было обнаружено?
- Если они использовали стороннюю компанию по испытаниям безопасности, почему они не обнаружили общедоступных номеров APP_ID?
- Экспозиция Manifest.json тривиальна для обнаружения. Почему это не было отмечено аудитом безопасности?
Противоречие между простым процессом обнаружения/эксплуатации и заявленной проактивной позицией безопасности Wix вызывает разумное сомнение в тщательности или эффективности их упреждающих мер.
Вынос:
- Простое открытие и эксплуатация:
Уязвимость может быть найдена и использована с использованием основных инструментов и общедоступной информации, без необходимости в расширенных навыках или инсайдерском доступе. - Обход управления предприятием:
Злоумышленники могут получить полный доступ к внутренним приложениям, несмотря на такие элементы управления, как регистрация отключений и ограничения на идентификацию на основе SSO. - Системный риск от кодирования Vibe:
Wiz предупреждает, что быстро развивающиеся платформы кодирования Vibe могут представлять широкие риски безопасности в рамках прикладных экосистем. - Расхождение между претензиями и реальностью:
Простота эксплуатации контрастирует с претензиями Wix об упреждающей безопасности, что вызывает вопросы о тщательности их аудитов безопасности.
Wiz обнаружил, что платформа Vibe Base44 от Wix 44 обнаружила критическую уязвимость, которая могла бы позволить злоумышленникам обойти аутентификацию и получить доступ к внутренним предприятиям. Компания безопасности, которая обнаружила недостаток, выразила мнение, что этот инцидент подчеркивает потенциальные риски недостаточных соображений безопасности, которые могут подвергнуть риску целые экосистемы.
Прочитайте оригинальный отчет:
Показанное изображение от Shutterstock/Mailcaroline
