La société de sécurité cloud Wiz a découvert une faille critique dans la plateforme de codage d’ambiance Base44 de Wix qui permettait aux attaquants de contourner l’authentification et d’accéder aux applications d’entreprise privées. La relative simplicité de trouver ce qui aurait dû être un numéro d’identification secret d’une application et de l’utiliser pour y accéder a fait de cette vulnérabilité une préoccupation majeure.
Contents
- 1 Numéro d’identification sensible exposé
- 2 Créer un compte malveillant était relativement trivial
- 3 Une faille d’authentification risquait d’exposer des données sensibles
- 4 Wix corrige une faille dans les 24 heures
- 5 Menace pour des écosystèmes entiers
- 6 Pourquoi cet incident de sécurité s’est-il produit ?
- 7 Points à retenir :
Numéro d’identification sensible exposé
Un numéro d’identification apparemment généré de manière aléatoire, appelé app_id, était intégré dans des chemins publics tels que l’URL de l’application et le fichier manifest.json. Les attaquants pourraient utiliser ces données pour générer un compte vérifié, même lorsque l’enregistrement de l’utilisateur était désactivé. Cela contournait les contrôles d’accès de la plateforme, y compris l’authentification unique (SSO), que de nombreuses organisations utilisent pour la sécurité de l’entreprise.
Le rapport de sécurité de Wiz note à quel point il a été facile de trouver les numéros app_id sensibles :
« Lorsque nous naviguons vers une application développée sur Base44, l’app_id est immédiatement visible dans l’URI et le chemin du fichier manifest.json, toutes les applications ont leur valeur app_ids codée en dur dans leur chemin de manifeste : manifests/{app_id}/manifest.json. »
Créer un compte malveillant était relativement trivial
La vulnérabilité ne nécessitait pas d’accès privilégié ni d’expertise technique approfondie. Une fois qu’un attaquant a identifié un app_id valide, il pourrait utiliser des outils tels que l’interface utilisateur open source Swagger pour enregistrer un nouveau compte, recevoir un mot de passe à usage unique (OTP) par e-mail et vérifier le compte sans restriction.
À partir de là, la connexion via le flux SSO de l’application a accordé un accès complet aux systèmes internes, même si l’accès initial était restreint à des utilisateurs ou des équipes spécifiques. Ce processus a révélé une faille sérieuse dans l’hypothèse de la plateforme selon laquelle l’app_id ne serait pas falsifié ou réutilisé en externe.
Une faille d’authentification risquait d’exposer des données sensibles
La plupart des applications concernées ont été créées à l’aide de la populaire plateforme de codage d’ambiance Base44 pour un usage interne, prenant en charge des opérations telles que les ressources humaines, les chatbots et les bases de connaissances. Ces systèmes contenaient des informations personnellement identifiables (PII) et étaient utilisés pour les opérations RH. L’exploit a permis aux attaquants de contourner les contrôles d’identité et d’accéder aux applications d’entreprise privées, exposant ainsi potentiellement des données sensibles.
Wix corrige une faille dans les 24 heures
La société de sécurité cloud a découvert la faille en utilisant un processus méthodique d’examen des informations publiques à la recherche de points faibles potentiels, aboutissant finalement à la recherche des numéros app_id exposés, et à partir de là, en créant le flux de travail pour générer l’accès aux comptes. Ils ont ensuite contacté Wix, qui a immédiatement résolu le problème.
Selon le rapport publié par la société de sécurité, il n’existe aucune preuve que la faille ait été exploitée et la vulnérabilité a été entièrement corrigée.
Menace pour des écosystèmes entiers
Le rapport de sécurité de Wiz a noté que la pratique du vibe coding se déroule à un rythme rapide et avec peu de temps pour résoudre les problèmes de sécurité potentiels, exprimant l’opinion qu’elle crée des « risques systémiques » non seulement pour les applications individuelles mais pour « des écosystèmes entiers ».
Pourquoi cet incident de sécurité s’est-il produit ?
Wix déclare qu’il est proactif en matière de sécurité
Le rapport a publié une déclaration de Wix qui déclare qu’ils sont proactifs en matière de sécurité :
« Nous continuons d’investir massivement dans le renforcement de la sécurité de tous les produits et les vulnérabilités potentielles sont gérées de manière proactive. Nous restons déterminés à protéger nos utilisateurs et leurs données. »
Une société de sécurité affirme que la découverte d’une faille était simple
Le rapport de Wiz décrit la découverte comme une affaire relativement simple, expliquant qu’ils ont utilisé des « techniques de reconnaissance simples », notamment la « découverte passive et active de sous-domaines », qui sont des méthodes largement accessibles.
Le rapport de sécurité expliquait que l’exploitation de la faille était simple :
« Ce qui rendait cette vulnérabilité particulièrement préoccupante était sa simplicité, qui ne nécessitait que des connaissances de base en API pour l’exploiter. Cette faible barrière à l’entrée signifiait que les attaquants pouvaient systématiquement compromettre plusieurs applications sur la plate-forme avec une sophistication technique minimale. »
L’existence de ce rapport, en soi, soulève la crainte que si la découverte du problème était « simple » et que son exploitation présentait une « faible barrière à l’entrée », comment se fait-il que Wix ait été proactif et que cela n’ait pourtant pas été découvert ?
- S’ils avaient fait appel à une société de test de sécurité tierce, pourquoi n’avaient-ils pas découvert les numéros app_id accessibles au public ?
- L’exposition manifest.json est triviale à détecter. Pourquoi cela n’a-t-il pas été signalé par un audit de sécurité ?
La contradiction entre un simple processus de découverte/exploitation et la posture de sécurité proactive revendiquée par Wix soulève un doute raisonnable sur l’exhaustivité ou l’efficacité de leurs mesures proactives.
Points à retenir :
- Découverte et exploitation simples :
La vulnérabilité pourrait être trouvée et exploitée à l’aide d’outils de base et d’informations accessibles au public, sans nécessiter de compétences avancées ni d’accès privilégié. - Contourner les contrôles d’entreprise :
Les attaquants pourraient obtenir un accès complet aux applications internes malgré des contrôles tels que l’enregistrement désactivé et les restrictions d’identité basées sur SSO. - Risque systémique lié au Vibe Coding :
Wiz prévient que les plates-formes de codage d’ambiance rapides peuvent introduire des risques de sécurité généralisés dans les écosystèmes d’applications. - Écart entre les affirmations et la réalité :
La facilité d’exploitation contraste avec les affirmations de Wix en matière de sécurité proactive, ce qui soulève des questions sur la rigueur de leurs audits de sécurité.
Wiz a découvert que la plateforme de codage d’ambiance Base44 de Wix exposait une vulnérabilité critique qui aurait pu permettre aux attaquants de contourner l’authentification et d’accéder aux applications internes de l’entreprise. La société de sécurité qui a découvert la faille a estimé que cet incident met en évidence les risques potentiels liés à des considérations de sécurité insuffisantes, qui peuvent mettre en danger des écosystèmes entiers.
Wiz Research découvre une vulnérabilité critique dans la plateforme de codage AI Vibe Base44, permettant un accès non autorisé à des applications privées
Image en vedette par Shutterstock/mailcaroline