Oracle NetSuite’in SuiteCommerce kurumsal kaynak planlama (ERP) platformunda yaygın bir yanlış yapılandırma, hassas müşteri verilerinin binlerce web sitesinde ifşa edilmesine neden oldu.
Güvenlik firması AppOmni sorunu ortaya çıkardıe-ticareti desteklemek için NetSuite kullanan birçok işletmenin, özel kayıt türlerinde (CRT’ler) yanlış yapılandırılmış erişim kontrolleri nedeniyle müşteri kayıtlarına yetkisiz erişime izin verdiğini açıklıyor.
Bu CRT’ler kişisel adresler ve telefon numaraları gibi kritik verileri depoladığından siber suçlular için çekici bir hedef haline geliyorlar.
AppOmni’de SaaS güvenlik araştırmaları şefi olan Aaron Costello blogda “Bu kuruluşların binlercesi erişim kontrollerindeki yanlış yapılandırmalar yoluyla hassas müşteri verilerini kamuoyuna sızdırıyor,” diye yazdı. “Bu ifşaların gerçekleştiğini bulduğum ölçek çok önemli.”
Yaygın Oracle NetSuite Yanlış Yapılandırması
Sorun NetSuite’in platformundan kaynaklanmıyor; ancak bazı web sitesi yöneticilerinin mağazalarını yapılandırma biçiminden kaynaklanıyor. Bu yapılandırma, yetkisiz kullanıcıların sızdıran API’ler aracılığıyla müşteri verilerine erişmesine olanak tanıyor.
AppOmni’ye göre, esas olarak SuiteCommerce’deki dışa dönük mağazaları etkileyen yanlış yapılandırma, yetkisiz kişilerin URL manipülasyonu yoluyla kimlik doğrulaması olmadan hassas bilgileri sorgulamasına olanak tanıyor.
Costello, raporunda hassas verilerin en sık ifşa edilen biçiminin kayıtlı müşterilere ait kişisel olarak tanımlanabilir bilgiler (PII) olduğunu, buna tam adresler ve cep telefonu numaraları da dahil olduğunu belirtti.
NetSuite, müşterilerini güvenlik ayarlarını gözden geçirmeleri ve CRT’lerini yetkisiz erişime karşı korumak için en iyi uygulamaları takip etmeleri konusunda uyararak soruna yanıt verdi.
Costello, bu çabalara rağmen birçok işletmenin sitelerinin hassas verileri sızdırdığından veya hedef alınıp alınmadığından habersiz kalabileceğini belirtti. Bunun nedeni, NetSuite’in kolayca erişilebilir işlem günlükleri sağlamaması ve şirketlerin bunların istismar edilip edilmediğini tespit etmesini zorlaştırmasıdır.
Birçok kuruluşun sağlam bir yazılım hizmeti (SaaS) güvenlik programını uygulamak ve sürdürmekte zorluk çektiğini de sözlerine ekleyen uzman, kuruluşların SaaS uygulamalarına yönelik bilinen ve bilinmeyen riskleri tespit edip bunlarla mücadele etmek için daha iyi hazırlanabilmeleri için daha fazla eğitime ihtiyaç duyulduğunu söyledi.
Rapora göre, “Satıcılar rekabetçi kalmak için ürünlerine giderek daha karmaşık işlevler ekledikçe bu riskler daha da yaygınlaşacak.” “Bu sorunu ele almaya çalışan kuruluşlar bunu yaparken zorluklarla karşılaşacak çünkü bu saldırı yolları genellikle sadece özel araştırmalarla ortaya çıkarılabiliyor.”
SaaS Siber Güvenlik Sorunları Artıyor
NetSuite bulguları ve Snowflake platformunda barındırılan müşteri hesaplarına yönelik son saldırılar, SaaS ortamlarındaki artan güvenlik risklerine dikkat çekiyor.
AppOmni’ye göre bunun temelinde, SaaS platformlarının modern saldırı yüzeyini önemli ölçüde değiştirmesi ve saldırganlar için bazı geleneksel saldırı adımlarını gereksiz veya daha kolay hale getirmesi yatıyor.
Özellikle geleneksel Lockheed Martin siber öldürme zinciri — klasik bir temel saldırılara karşı savunma — başarılı bir kampanyanın adımlarını tanımlar: keşif, silahlandırma, teslimat, istismar, kurulum, komuta ve kontrol ve hedeflere yönelik eylemler (veri sızdırma, kötü amaçlı yazılım yerleştirme).
Ancak SaaS ortamlarında, “bir saldırganın bakış açısından öldürme zinciri, aslında birkaç noktaya kadar merkezileştirilmiştir: ilk erişim ve kimlik bilgisi erişimi, toplama ve sızdırma,” Brandon Levene, AppOmni’de tehdit algılama baş ürün yöneticisi Black Hat’te Dark Reading’e anlattı geçen hafta.
Buna göre, tehdit aktörleri artık SaaS uygulamaları içindeki kurumsal verileri aktif olarak hedef alıyor; saldırganlar arasında daha az gelişmiş grupların yanı sıra Scattered Spider gibi kötü şöhretli çeteler de yer alıyor. SaaS’a geçiş Geleneksel olarak Microsoft bulut ortamlarına ve şirket içi altyapıya odaklandıktan sonra.
Bu nedenle, kuruluşlar SaaS uygulamalarının kullanımını genişlettikçe siber saldırı zincirine yönelik yaklaşımlarını yeniden düşünmeli ve savunmalarını ayarlamak Buna göre. Örneğin, e-ticaret platformları durumunda, yöneticiler AppOmni’ye göre “web sitesi formlarındaki alan düzeyinde erişim kontrollerini değerlendirmeye başlamalı ve hangi alanların, varsa, açığa çıkarılması gerektiğini belirlemelidir.” Daha sonra, herkese açık erişime ihtiyaç duymayan alanları kilitleyebilirler.