Уязвимость, обнаруженная в платформе кодирования Vibe Wix • Продвижение Web 2.0

Компания Cloud Security Company Wiz обнаружила критический недостаток в платформе кодирования Base44 от Wix44, которая позволила злоумышленникам обходить аутентификацию и получить доступ к приложениям для частных предприятий. Относительная простота обнаружения того, что должно было быть секретным идентификационным номером приложения, и использование его для получения доступа сделала уязвимость серьезной проблемой.

Содержание

1 Разоблаченный чувствительный идентификационный номер
2 Создание мошеннического аккаунта было относительно тривиальным
3 Недостаток аутентификации
4 Wix исправляет недостаток в течение 24 часов
5 Угроза целым экосистемам
6 Почему произошел этот инцидент с безопасностью?
- 6.1 Wix утверждает, что это упреждает безопасность
- 6.2 Безопасная компания говорит, что обнаружение недостатка было простым
7 Вынос:

Разоблаченный чувствительный идентификационный номер

По-видимому, случайно сгенерированный идентификационный номер, называемый APP_ID, был встроен в общественные пути, такие как URL-адрес приложения и файл manifest.json. Злоумышленники могут использовать эти данные для генерации проверенной учетной записи, даже когда регистрация пользователя была отключена. Это обходило элементы управления доступом платформы, в том числе Single Sign-On (SSO), который многие организации используют для обеспечения безопасности предприятия.

В отчете Wiz Security отмечается, как легко было найти конфиденциальные номера APP_ID:

«Когда мы перейдем к любому приложению, разработанному в дополнение к Base44, APP_ID немедленно виден в пути файла uri и manifest.json, все приложения имеют свое значение app_ids в своем манифестном пути: Manifests/{app_id}/manifest.json».

Создание мошеннического аккаунта было относительно тривиальным

Уязвимость не потребовала привилегированного доступа или глубокого технического опыта. После того, как злоумышленник определил действительный APP_ID, они могут использовать такие инструменты, как Swagger-UI с открытым исходным кодом для регистрации новой учетной записи, получить одноразовый пароль (OTP) по электронной почте, и проверить учетную запись без ограничений.

Оттуда вход в систему через SSO Flow предоставил полный доступ к внутренним системам, несмотря на то, что исходный доступ был ограничен конкретными пользователями или командами. Этот процесс выявил серьезный недостаток в предположении платформы, что APP_ID не будет подделан или повторно используется внешне.

ЧИТАТЬ «Наша цель — стать девелопером №1», — Марко Марченко, основатель и генеральный директор Sensar Development — Delo.ua

Недостаток аутентификации

Многие из пострадавших приложений были построены с использованием популярной платформы кодирования Base44 для внутреннего использования, поддержки, таких как HR, чат -боты и базы знаний. Эти системы содержали личную информацию (PII) и использовались для HR -операций. Эксплойт позволил злоумышленникам обходить элементы управления идентификацией и получить доступ к приложениям для частных предприятий, потенциально подвергая конфиденциальные данные.

Wix исправляет недостаток в течение 24 часов

Компания по обеспечению безопасности облачной безопасности обнаружила недостаток, используя методический процесс изучения общественной информации для потенциальных слабых точек, в конечном итоге кульминацией которого является поиск обнаженных номеров APP_ID, и оттуда создавая рабочий процесс для получения доступа к учетным записям. Затем они связались с Wix, который сразу же исправил проблему.

Согласно отчету, опубликованному компанией безопасности, нет никаких доказательств того, что недостаток был эксплуатирован, и уязвимость была полностью рассмотрена.

Угроза целым экосистемам

В отчете Wiz Security отмечалось, что практика кодирования Vibe продолжается быстрыми темпами и не хватает времени для решения потенциальных проблем безопасности, выражая мнение, что он создает «системные риски» не только для отдельных приложений, но и для «целых экосистем».

Почему произошел этот инцидент с безопасностью?

Wix утверждает, что это упреждает безопасность

В отчете опубликовано заявление от Wix, в котором говорится, что они активно охраняют:

«Мы продолжаем вкладывать значительные средства в укрепление безопасности всех продуктов, а потенциальные уязвимости управляются активно. Мы по -прежнему привержены защите наших пользователей и их данных».

Безопасная компания говорит, что обнаружение недостатка было простым

В докладе Wiz описывается обнаружение как относительно простое дело, объясняющее, что они использовали «простые методы разведки», включая «пассивное и активное обнаружение субдоменов», которые являются широко доступными методами.

ЧИТАТЬ Wix объявляет об обзоре визуальности ИИ цитирования и отслеживания настроений

В отчете о безопасности объясняется, что использование недостатка было простым:

«То, что сделало эту уязвимость, особенно относилась к его простоте — требуя только базовых знаний API для использования. Этот низкий барьер для входа означал, что злоумышленники могли систематически поставить под угрозу несколько приложений по всей платформе с минимальной технической сложностью».

Существование этого отчета сами по себе вызывает обеспокоенность тем, что если обнаружение проблемы было «простым» и эксплуатируя его, имел «низкий барьер для входа», как получается, что Wix был активным, и все же это не было обнаружено?

Если они использовали стороннюю компанию по испытаниям безопасности, почему они не обнаружили общедоступных номеров APP_ID?
Экспозиция Manifest.json тривиальна для обнаружения. Почему это не было отмечено аудитом безопасности?

Противоречие между простым процессом обнаружения/эксплуатации и заявленной проактивной позицией безопасности Wix вызывает разумное сомнение в тщательности или эффективности их упреждающих мер.

Вынос:

Простое открытие и эксплуатация:
Уязвимость может быть найдена и использована с использованием основных инструментов и общедоступной информации, без необходимости в расширенных навыках или инсайдерском доступе.
Обход управления предприятием:
Злоумышленники могут получить полный доступ к внутренним приложениям, несмотря на такие элементы управления, как регистрация отключений и ограничения на идентификацию на основе SSO.
Системный риск от кодирования Vibe:
Wiz предупреждает, что быстро развивающиеся платформы кодирования Vibe могут представлять широкие риски безопасности в рамках прикладных экосистем.
Расхождение между претензиями и реальностью:
Простота эксплуатации контрастирует с претензиями Wix об упреждающей безопасности, что вызывает вопросы о тщательности их аудитов безопасности.

Wiz обнаружил, что платформа Vibe Base44 от Wix 44 обнаружила критическую уязвимость, которая могла бы позволить злоумышленникам обойти аутентификацию и получить доступ к внутренним предприятиям. Компания безопасности, которая обнаружила недостаток, выразила мнение, что этот инцидент подчеркивает потенциальные риски недостаточных соображений безопасности, которые могут подвергнуть риску целые экосистемы.

ЧИТАТЬ Агентство вращающихся дверей переезжает: 62Above, GumGum, Mediaworks, WPP и другие

Прочитайте оригинальный отчет:

Wiz Research раскрывает критическую уязвимость в платформе кодирования AI Vibe Base44, позволяющая несанкционированный доступ к частным приложениям

Показанное изображение от Shutterstock/Mailcaroline

Source link