Cloud Security Company Wiz a découvert une faille critique dans la plate-forme de codage d’ambiance Base44 de Wix qui a permis aux attaquants de contourner l’authentification et d’accéder aux applications d’entreprise privées. La simplicité relative de trouver ce qui aurait dû être un numéro d’identification secrète et de l’utiliser pour accéder, a fait de la vulnérabilité une grave préoccupation.
Numéro d’identification sensible exposé
Un numéro d’identification apparemment généré au hasard, appelé APP_ID, a été intégré dans des chemins orientés publics tels que l’URL d’application et le fichier manifeste.json. Les attaquants peuvent utiliser ces données pour générer un compte vérifié, même lorsque l’enregistrement de l’utilisateur a été désactivé. Cela a contourné les contrôles d’accès de la plate-forme, y compris la connexion unique (SSO), que de nombreuses organisations utilisent pour la sécurité des entreprises.
Le rapport de sécurité Wiz note à quel point il était facile de trouver les numéros APP_ID sensibles:
« Lorsque nous naviguons vers toute application développée au-dessus de Base44, l’APP_ID est immédiatement visible dans le chemin de fichier URI et manifest.json, toutes les applications ont leur valeur app_ids enrichie dans leur chemin manifeste: manifestes / {app_id} /manifest.json. »
La création d’un compte voyou était relativement trivial
La vulnérabilité n’a pas nécessité un accès privilégié ou une expertise technique approfondie. Une fois qu’un attaquant a identifié une APP_ID valide, il pourrait utiliser des outils comme l’Open Source Swagger-UI pour enregistrer un nouveau compte, recevoir un mot de passe (OTP) ponctuel par e-mail et vérifier le compte sans restriction.
À partir de là, vous connecter via le flux SSO de l’application a accordé un accès complet aux systèmes internes, bien que l’accès d’origine soit limité à des utilisateurs ou des équipes spécifiques. Ce processus a exposé un défaut grave dans l’hypothèse de la plate-forme selon laquelle l’App_id ne serait pas falsifié ou réutilisé à l’extérieur.
Authentification défaut a risqué l’exposition des données sensibles
De nombreuses applications affectées ont été construites à l’aide de la plate-forme de codage d’ambiance populaire Base44 à usage interne, des opérations de support telles que les RH, les chatbots et les bases de connaissances. Ces systèmes contenaient des informations personnellement identifiables (PII) et ont été utilisés pour les opérations RH. L’exploit a permis aux attaquants de contourner les contrôles d’identité et d’accès aux applications d’entreprise privées, à exposer potentiellement des données sensibles.
Wix corrige le défaut dans les 24 heures
La société de sécurité cloud a découvert la faille en utilisant un processus méthodique d’examen des informations publiques pour les points faibles potentiels, qui a finalement culminé dans la recherche des numéros App_ID exposés, et à partir de là, la création du flux de travail pour générer un accès aux comptes. Ils ont ensuite contacté Wix, ce qui a immédiatement résolu le problème.
Selon le rapport publié par la société de sécurité, il n’y a aucune preuve que la faille a été exploitée et la vulnérabilité a été entièrement abordée.
Menace pour des écosystèmes entiers
Le rapport de sécurité Wiz a noté que la pratique du codage d’ambiance se déroule à un rythme rapide et avec pas assez de temps pour résoudre les problèmes de sécurité potentiels, exprimant l’opinion qu’il crée des «risques systémiques» non seulement pour les applications individuelles mais pour des «écosystèmes entiers».
Pourquoi cet incident de sécurité s’est-il produit?
Wix déclare qu’il est proactif sur la sécurité
Le rapport a publié une déclaration de WIX qui stipule qu’ils sont proactifs sur la sécurité:
«Nous continuons à investir massivement dans le renforcement de la sécurité de tous les produits et les vulnérabilités potentielles sont gérées de manière proactive. Nous restons déterminés à protéger nos utilisateurs et leurs données.»
La société de sécurité affirme que la découverte de défaut était simple
Le rapport de Wiz décrit la découverte comme une question relativement simple, expliquant qu’ils utilisaient des «techniques de reconnaissance simples», y compris la «découverte passive et active des sous-domaines», qui sont des méthodes largement accessibles.
Le rapport de sécurité a expliqué que l’exploitation du défaut était simple:
«Ce qui a rendu cette vulnérabilité particulièrement concernant, c’est sa simplicité – ne nécessitant que des connaissances de base de l’API à exploiter. Cette faible barrière à l’entrée signifiait que les attaquants pouvaient compromettre systématiquement plusieurs applications sur la plate-forme avec une sophistication technique minimale.»
L’existence de ce rapport, en soi, soulève la préoccupation que si la découverte du problème était «simple» et l’exploitation, elle avait une «faible barrière à l’entrée», comment est-ce que Wix était proactif et pourtant cela n’a pas été découvert?
- S’ils avaient utilisé une entreprise de tests de sécurité tiers, pourquoi n’avaient-ils pas découvert les numéros App_id accessibles au public?
- L’exposition manifeste.json est triviale à détecter. Pourquoi cela n’avait-il pas été signalé par un audit de sécurité?
La contradiction entre un simple processus de découverte / exploitation et la posture de sécurité proactive revendiquée de Wix soulève un doute raisonnable sur la minutie ou l’efficacité de leurs mesures proactives.
À emporter:
- Découverte et exploitation simples:
La vulnérabilité a pu être trouvée et exploitée à l’aide d’outils de base et d’informations accessibles au public, sans avoir besoin de compétences avancées ou d’accès à l’initié. - Contourner les contrôles d’entreprise:
Les attaquants pourraient avoir un accès complet aux applications internes malgré des contrôles tels que l’enregistrement désactivé et les restrictions d’identité basées sur SSO. - Risque systémique à partir du codage d’ambiance:
Wiz avertit que les plateformes de codage d’ambiance à rythme rapide peuvent présenter des risques de sécurité généralisés entre les écosystèmes d’application. - Écart entre les revendications et la réalité:
La facilité d’exploitation contraste avec les revendications de la sécurité proactive de Wix, ce qui a suscité des questions sur la minutie de leurs audits de sécurité.
Wiz a découvert que la plate-forme de codage d’ambiance Base44 de Wix exposait une vulnérabilité critique qui aurait pu permettre aux attaquants de contourner l’authentification et d’accès aux applications d’entreprise internes. La société de sécurité qui a découvert le défaut a exprimé l’avis que cet incident met en évidence les risques potentiels de considérations de sécurité insuffisantes, ce qui peut mettre en danger des écosystèmes entiers.
Lisez le rapport original:
Image en vedette par Shutterstock / MailCaroline
Commentaires