Nemrégiben komoly biztonsági rést fedeztek fel a Wix Vibe kódolási platformján, amely lehetővé tette a támadók számára, hogy megkerüljék a hitelesítést, és hozzáférjenek a privát vállalati alkalmazásokhoz. A Wix Vibe platform, amelyet sok vállalat használ belső alkalmazásaik fejlesztésére, most komoly kihívásokkal néz szembe, mivel a felfedezett hiba potenciálisan súlyos következményekkel járhat a felhasználókra nézve.
Azonosító számok kiszivárgása
A Wix Vibe platformon található azonosító számok, amelyeket app_id néven ismerünk, nyilvános elérhetőséggel bírtak. E számok a webalkalmazások URL-jében és a manifest.json fájlban voltak elérhetők. A sebezhetőség miatt a támadók könnyen felfedezhették ezt az app_id-t, és ezt felhasználva képesek voltak létrehozni egy érvényes fiókot, még akkor is, ha a felhasználói regisztráció le volt tiltva. Ez a hiba lehetővé tette, hogy a támadók megkerüljék a platform hozzáférési kontrolljait, beleértve a vállalatok által gyakran használt Egyéni Bejelentkezési Rendszert (SSO) is.
Az egyszerűség veszélye
A sebezhetőség kihasználása meglepően egyszerű volt, mivel nem igényelt különleges hozzáférést vagy mély technikai tudást. Amint egy támadó felfedezte a megfelelő app_id-t, olyan eszközöket használhatott, mint például az open source Swagger-UI, hogy új fiókot regisztráljon, majd egy egyszeri jelszót (OTP) kapjon e-mailben, és ezután korlátozás nélkül ellenőrizze a fiókot. Ezt követően a felhasználó az alkalmazás SSO folyamatán keresztül teljes hozzáférést kapott a belső rendszerekhez, függetlenül attól, hogy az eredeti hozzáférés csak bizonyos felhasználókra vagy csapatokra volt korlátozva.
Érzékeny adatok kockázata
Az érintett alkalmazások között sok olyan volt, amelyet a vállalati működés támogatására terveztek, például HR és chatbot rendszerek. Ezek az alkalmazások személyazonosításra alkalmas információkat (PII) tartalmaztak, és a HR folyamatokhoz használták őket. A sebezhetőség kihasználása lehetővé tette a támadók számára, hogy megkerüljék az azonosítási kontrollokat, és hozzáférjenek a privát vállalati alkalmazásokhoz, ezáltal potenciálisan érzékeny adatokat exponálva.
A Wix gyors reagálása
A hibát felfedező Wiz biztonsági cég szisztematikus módszerekkel derítette fel a potenciális gyenge pontokat, mielőtt a nyilvános információk elemzésével az app_id számokhoz jutottak volna. Ezt követően értesítették a Wix-et, amely 24 órán belül orvosolta a problémát. A biztonsági jelentés szerint nem volt bizonyíték arra, hogy a sebezhetőséget kihasználták volna, és hogy a hiba teljes mértékben megoldódott.
A rendszer szintű kockázatok
A Wiz jelentése arra figyelmeztetett, hogy a Vibe kódolás gyors ütemű fejlődése a potenciális biztonsági problémák figyelmen kívül hagyásához vezethet, amely nemcsak az egyes alkalmazásokat, hanem az egész ökoszisztémát is érinti. A gyorsan változó technológiai környezetben a vállalatoknak folyamatosan figyelemmel kell kísérniük a biztonsági kockázatokat, hogy elkerüljék a hasonló helyzeteket a jövőben.
Wix és a biztonsági intézkedések
A Wix közleménye szerint a cég proaktívan kezeli a biztonsági kérdéseket, és folyamatosan fektet be a termékek védelmébe. A jelentésben elmondták, hogy a biztonsági auditok során nem találták meg a nyilvánosan elérhető app_id számokat, ami felveti a kérdést, hogy mennyire hatékonyak a cég biztonsági intézkedései. A sebezhetőség felfedezése és kihasználása viszonylag egyszerű volt, ami aggodalomra ad okot, hogy miért nem sikerült ezt előzetesen észlelni.
A Wix Vibe platformon felfedezett kritikus sebezhetőség felhívja a figyelmet arra, hogy a biztonsági intézkedések nem mindig elegendőek a fenyegetések elleni védekezéshez. A vállalatoknak folyamatosan felül kell vizsgálniuk és frissíteniük kell a biztonsági protokolljaikat, hogy megvédjék felhasználóikat és adataikat a potenciális támadásokkal szemben.
