Pesquisadores de segurança descobriram milhares de lojas virtuais Oracle NetSuite que são vulneráveis a vazamento de dados. De acordo com as descobertas, informações confidenciais de clientes estão em risco!
Oracle NetSuite pode vazar dados dos clientes
Pesquisadores de segurança cibernética da AppOmni alertam sobre um possível problema na plataforma Oracle NetSuite SuiteCommerce que pode permitir que invasores acessem dados confidenciais de clientes.
NetSuite é uma plataforma SaaS Enterprise Resource Planning (ERP) amplamente usada, valorizada por sua capacidade de implantar lojas on-line externas por meio do SuiteCommerce ou SiteBuilder. Essas lojas, hospedadas em um subdomínio do locatário NetSuite, permitem que clientes não autenticados naveguem, registrem e comprem produtos diretamente de uma empresa.
O problema
O problema não é uma vulnerabilidade na solução NetSuite, mas uma configuração incorreta dos controles de acesso em tipos de registros personalizados (CRTs) que podem vazar dados confidenciais do cliente. Dados confidenciais expostos são PII de clientes registrados, incluindo endereços completos e números de telefone celular.
Os agentes de ameaças têm como alvo os Custom Record Types (CRTs) no NetSuite que usam controles de acesso “No Permission Required”, permitindo que usuários não autenticados acessem dados por meio das APIs de registro e pesquisa do NetSuite. No entanto, para que o ataque seja bem-sucedido, o invasor deve primeiro saber os nomes dos CRTs que estão sendo usados.
Também devemos assumir que um ator não autenticado sabe o nome do CRT. Antes deste artigo ser publicado, existia um método que poderia ser invocado que retornaria os nomes de todos os CRTs. No entanto, isso já foi corrigido.
Hoje, os nomes de CRT podem ser recuperados usando dois métodos.
Relatório publicado pelos pesquisadoresPara mitigar o risco, os administradores devem reforçar os controles de acesso em Tipos de Registro Personalizados (CRTs), restringir o acesso público a campos confidenciais e considerar colocar temporariamente os sites afetados offline para evitar a exposição de dados.
A maneira infalível de resolver esses problemas de exposição de dados é reforçar os controles de acesso em CRTs. A solução mais fácil do ponto de vista da segurança pode envolver a alteração do Tipo de acesso da definição do tipo de registro para ‘Exigir permissão de entradas de registro personalizadas ‘ou’ Usar lista de permissões’.
Na realidade, muitas organizações têm um requisito comercial genuíno para que alguns dos campos dentro do tipo de registro sejam expostos. Como tal, eu recomendo fortemente que os administradores comecem a avaliar os controles de acesso no nível do campo e identifiquem quais campos, se houver, devem ser expostos. Para campos que devem ser bloqueados do acesso público, os administradores devem fazer ambas as alterações abaixo:
- Nível de acesso padrão: Nenhum;
- Nível padrão para pesquisa/relatórios: Nenhum
Via: Security Affairs