Vulnerabilidade descoberta na plataforma de codificação Wix Vibe -

A empresa de segurança em nuvem Wiz descobriu uma falha crítica na plataforma de codificação Base44 Vibe da Wix, que permitiu que os invasores ignorassem a autenticação e ganhassem acesso a aplicativos de empresas privadas. A relativa simplicidade de encontrar o que deveria ter sido um número secreto de identificação do aplicativo e usá -lo para obter acesso tornou a vulnerabilidade uma preocupação séria.

Número de identificação sensível exposto

Um número de identificação aparentemente gerado aleatoriamente, chamado APP_ID, foi incorporado em caminhos voltados para o público, como o URL do aplicativo e o arquivo manifest.json. Os invasores poderiam usar esses dados para gerar uma conta verificada, mesmo quando o registro do usuário foi desativado. Isso ignorou os controles de acesso da plataforma, incluindo o SOP-ON (SSO), que muitas organizações usam para segurança corporativa.

O relatório de segurança do Wiz observa como foi fácil encontrar os números sensíveis app_id:

“Quando navegamos para qualquer aplicativo desenvolvido no topo da base44, o APP_ID é imediatamente visível no caminho do arquivo URI e Manifest.json, todos os aplicativos têm seu valor APP_IDS com codificado em seu caminho manifesto: manifestos/{app_id}/manifest.json.”

Criar uma conta desonesta era relativamente trivial

A vulnerabilidade não exigia acesso privilegiado ou experiência técnica profunda. Depois que um invasor identificou um app_id válido, eles poderiam usar ferramentas como o Swagger-UI de código aberto para registrar uma nova conta, receber uma senha única (OTP) por email e verificar a conta sem restrição.

A partir daí, o login através do fluxo SSO do aplicativo concedeu acesso total a sistemas internos, apesar do acesso original restrito a usuários ou equipes específicas. Esse processo expôs uma falha séria na suposição da plataforma de que o app_id não seria adulterado ou reutilizado externamente.

Falha de autenticação correu a exposição de dados sensíveis

Muitos dos aplicativos afetados foram construídos usando a popular plataforma de codificação Base44 Vibe para uso interno, operações de suporte, como RH, chatbots e bases de conhecimento. Esses sistemas continham informações de identificação pessoal (PII) e foram usadas para operações de RH. A exploração permitiu que os invasores ignorassem os controles de identidade e acessem aplicativos de empresas privadas, potencialmente expondo dados confidenciais.

Wix corrige a falha dentro de 24 horas

A empresa de segurança em nuvem descobriu a falha usando um processo metódico de examinar as informações públicas para possíveis pontos fracos, eventualmente culminando em encontrar os números app_id expostos e a partir daí, criando o fluxo de trabalho para gerar acesso às contas. Em seguida, eles entraram em contato com Wix, que imediatamente corrigiu o problema.

De acordo com o relatório publicado pela empresa de segurança, não há evidências de que a falha tenha sido explorada e a vulnerabilidade tenha sido totalmente abordada.

Ameaça a ecossistemas inteiros

O relatório de segurança do Wiz observou que a prática da codificação da vibração está prosseguindo em ritmo acelerado e sem tempo suficiente para abordar possíveis problemas de segurança, expressando a opinião de que cria “riscos sistêmicos” não apenas para aplicativos individuais, mas para “ecossistemas inteiros”.

Por que esse incidente de segurança aconteceu?

Wix afirma que é proativo em segurança

O relatório publicou uma declaração do WIX que afirma que eles são proativos sobre segurança:

“Continuamos investindo fortemente no fortalecimento da segurança de todos os produtos e vulnerabilidades em potencial são gerenciadas proativamente. Continuamos comprometidos em proteger nossos usuários e seus dados”.

A empresa de segurança diz que a descoberta de falha foi simples

O relatório do Wiz descreve a descoberta como uma questão relativamente simples, explicando que eles usaram “técnicas de reconhecimento direto”, incluindo “descoberta passiva e ativa de subdomínios”, que são métodos amplamente acessíveis.

O relatório de segurança explicou que explorar a falha era simples:

“O que tornou essa vulnerabilidade particularmente preocupante foi sua simplicidade – exigindo apenas o conhecimento básico da API explorar. Essa baixa barreira à entrada significava que os invasores poderiam comprometer sistematicamente várias aplicações em toda a plataforma com sofisticação técnica mínima”.

A existência desse relatório, por si só, levanta a preocupação de que, se descobrir que a questão era “direta” e explorá -lo tinha uma “barreira baixa à entrada”, como é que Wix foi proativo e, no entanto, isso não foi descoberto?

Se eles tinham usado uma empresa de testes de segurança de terceiros, por que eles não descobriram os números app_id disponíveis ao público?
A exposição manifest.json é trivial para detectar. Por que isso não foi sinalizado por uma auditoria de segurança?

A contradição entre um processo simples de descoberta/exploração e a postura proativa de segurança proativa de Wix levanta uma dúvida razoável sobre a rigor ou eficácia de suas medidas proativas.

Takeaways:

Descoberta e exploração simples:
A vulnerabilidade pode ser encontrada e explorada usando ferramentas básicas e informações disponíveis ao público, sem necessidade de habilidades avançadas ou acesso privilegiado.
Ignorando os controles corporativos:
Os invasores podem obter acesso total a aplicativos internos, apesar dos controles como registro deficientes e restrições de identidade baseadas em SSO.
Risco sistêmico da codificação da vibração:
O Wiz adverte que as plataformas de codificação de vibração rápidas podem introduzir riscos de segurança generalizados nos ecossistemas de aplicativos.
Discrepância entre reivindicações e realidade:
A facilidade de exploração contrasta com as reivindicações de segurança proativa de Wix, provocando perguntas sobre a rigor de suas auditorias de segurança.

O Wiz descobriu que a plataforma de codificação Base44 Vibe da Wix expôs uma vulnerabilidade crítica que poderia ter permitido que os invasores ignorassem a autenticação e acessem aplicativos corporativos internos. A empresa de segurança que descobriu a falha expressou a opinião de que esse incidente destaca os riscos potenciais de considerações insuficientes de segurança, o que pode colocar em risco os ecossistemas inteiros.

Leia o relatório original:

A pesquisa do Wiz descobre vulnerabilidade crítica na plataforma de codificação da IA Vibe base44, permitindo acesso não autorizado a aplicativos privados

Imagem em destaque de Shutterstock/Mailcaroline

Source link

Vulnerabilidade descoberta na plataforma de codificação Wix Vibe

Número de identificação sensível exposto

Criar uma conta desonesta era relativamente trivial

Falha de autenticação correu a exposição de dados sensíveis

Wix corrige a falha dentro de 24 horas

Ameaça a ecossistemas inteiros

Por que esse incidente de segurança aconteceu?

Wix afirma que é proativo em segurança

A empresa de segurança diz que a descoberta de falha foi simples

Takeaways:

Lançamento do álbum IurisEkero – The Mighty ‘Aura’, Live at Sunset: Experiência Imersiva

Algumas novidades sobre este blog – The Law and Policy Blog

Caminhando para Bath, a grandeza de Londres – Ridgeline Edição 195

18 marcas de carros esquecidas com modelos que valem a pena redescobrir

15 thrillers que permanecem tensos, não importa quantas vezes você assista novamente

Episódio de “Breaking Bad” perde pontuação perfeita no IMDb

Deixe um comentário Cancelar resposta

Número de identificação sensível exposto

Criar uma conta desonesta era relativamente trivial

Falha de autenticação correu a exposição de dados sensíveis

Wix corrige a falha dentro de 24 horas

Ameaça a ecossistemas inteiros

Por que esse incidente de segurança aconteceu?

Wix afirma que é proativo em segurança

A empresa de segurança diz que a descoberta de falha foi simples

Takeaways:

Postagens Similares

Deixe um comentário Cancelar resposta