Wodify: des bugs dans le logiciel de fitness permettent d’effacer l’historique

0

Les chercheurs en sécurité ont découvert des vulnérabilités dans la plate-forme de fitness Wodify qui permet à un attaquant de visualiser et de modifier les entraînements des utilisateurs de l’un des plus de 5 000 gymnases qui utilisent le logiciel dans le monde.

Les données des utilisateurs (par exemple, personnelles, entraînement, paiements) peuvent actuellement être menacées car Wodify n’a pas encore confirmé le déploiement d’un correctif, bien qu’il ait eu suffisamment de temps pour résoudre les problèmes de sécurité.

Wodify est une plate-forme tout-en-un utilisée par plus de 5 000 gymnases dans le monde. En plus d’offrir des options de gestion des membres, il peut également aider les clients à atteindre leurs objectifs et à mieux suivre leurs performances.

La plate-forme s’adresse à la fois aux entraîneurs et aux athlètes et propose un système de facturation automatisé, une planification des cours, permet de créer des entraînements personnalisés et de suivre les données de condition physique (par exemple, la fréquence cardiaque) en temps réel.

Modification des données d’entraînement de l’utilisateur

Dans un rapport publié récemment, des chercheurs de la société de cybersécurité Bishop Fox ont révélé un ensemble de vulnérabilités de la plate-forme Wodify qui pourraient affecter non seulement les entraînements et les informations personnelles des utilisateurs, mais également les finances d’une salle de sport.

L’exploitation des failles permet d’énumérer et de modifier les entrées de la plate-forme Wodify de tous les gymnases qui l’utilisent, explique Dardan Prebreza, consultant principal en sécurité chez Bishop Fox. Malgré la nécessité de s’authentifier, les problèmes ont de graves implications.

« En modifiant les données, un attaquant pourrait insérer des charges utiles JavaScript malveillantes, conduisant à un bugXSS. Cela pourrait être utilisé pour détourner la session d’un utilisateur, voler un mot de passe haché ou le JWT de l’utilisateur via la vulnérabilité de divulgation d’informations sensibles  » – Dardan Prebreza

En compromettant les comptes administratifs du gymnase, selon le chercheur, un attaquant motivé financièrement pourrait modifier les paramètres de paiement pour voler l’argent des membres du gymnase.

L’une des vulnérabilités fait référence à des contrôles d’autorisation insuffisants, qui pourraient servir à énumérer les utilisateurs et à modifier leurs données dans la plate-forme Wodify.

L’exploitation du bogue nécessite une authentification. Le chercheur a testé ce bug avec succès après avoir obtenu le consentement d’un client de Wodify pour utiliser son compte.

wodify

Ce type d’accès permettait d’insérer un code malveillant qui aurait un impact sur d’autres utilisateurs de la plate-forme, « y compris les administrateurs d’instances ou de gymnases », via des attaques de script intersite (XSS).

En ajoutant une charge utile JavaScript malveillante dans le commentaire d’entraînement de l’utilisateur cible, le chercheur a déclenché la vulnérabilité XSS qui pourrait permettre à un attaquant de modifier toutes les données d’entraînement des utilisateurs de Wodify, résultats inclus.

wodify

Avec ce type d’accès, a déclaré Prebreza, les pirates pourraient également effacer l’intégralité de l’historique d’entraînement d’un utilisateur, ce qui aurait un impact négatif sérieux sur l’entraînement d’un athlète.

Une enquête plus approfondie a révélé quatre vulnérabilités XSS stockées dans l’application Wodify. Les privilèges d’un utilisateur ordinaire sont suffisants pour planter du code JavaScript malveillant dans un résultat d’entraînement qui déclencherait un bogue XSS.

Un utilisateur chargeant cette page déclencherait l’exécution du code de l’attaquant, lui donnant potentiellement un accès administratif à l’application du gymnase cible.

« Si un attaquant accédait de cette manière à un accès administratif à une salle de sport spécifique, il serait en mesure de modifier les paramètres de paiement, ainsi que d’accéder et de mettre à jour les informations personnelles d’autres utilisateurs » – Dardan Prebreza

Une autre vulnérabilité de l’application Wodify expose des informations utilisateur sensibles et permet le piratage de sessions à l’aide d’une faille XSS.

Un patch n’est pas confirmé

Prebreza a informé Wodify pour la première fois de ses découvertes il y a plus de six mois et a appris en Avril que les bogues seraient corrigés dans les 90 jours.

Le chercheur a déclaré que la communication avec Wodify a été très difficile et qu’il a fallu beaucoup de temps à l’entreprise pour reconnaître les vulnérabilités.

« Il a fallu près de deux mois avant qu’ils reconnaissent les vulnérabilités et uniquement en contactant directement leur PDG par e-mail, qui m’a ensuite mis en contact avec leur nouveau responsable de la technologie en avril. »

«Ils étaient censés sortir la nouvelle version/patchée en mai, qui a ensuite été repoussée plusieurs fois. La dernière fois qu’ils nous ont répondu, ils ont mentionné le 5 août comme date de sortie finale », a déclaré le chercheur.

Selon le calendrier de divulgation de Bishop Fox, Wodify était censé publier une nouvelle version de l’application le 11 juin, mais a retardé la mise à jour pour le 5 août.

Cependant, Bishop Fox dit qu’ils n’ont pas eu de nouvelles du fournisseur depuis le 13 juillet et ne savent pas si un correctif a été publié pour les clients.

N’oubliez pas de jeter un coup d’œil à nos bons plans.

Laisser un commentaire