Los investigadores de ciberseguridad advierten sobre el descubrimiento de miles de sitios de comercio electrónico Oracle NetSuite externos que son susceptibles de filtrar información confidencial de los clientes.
«Un problema potencial en la plataforma SuiteCommerce de NetSuite podría permitir a los atacantes acceder a datos confidenciales debido a controles de acceso mal configurados en tipos de registros personalizados (CRT)», dijo Aaron Costello de AppOmni. dicho.
Cabe destacar que el problema no es una falla de seguridad en el producto NetSuite, sino una configuración incorrecta del cliente que puede provocar la fuga de datos confidenciales. La información expuesta incluye direcciones completas y números de teléfono móvil de clientes registrados en los sitios de comercio electrónico.
El escenario de ataque detallado por AppOmni explota los CRT que emplean controles de acceso a nivel de tabla con el tipo de acceso «No se requiere permiso», que otorga a usuarios no autenticados acceso a los datos mediante el uso de las API de búsqueda y registro de NetSuite.
Dicho esto, para que este ataque tenga éxito, hay una serie de requisitos previos, el más importante de los cuales es que el atacante debe conocer el nombre de los CRT en uso.
Para mitigar el riesgo, se recomienda que los administradores del sitio ajusten los controles de acceso en los CRT, establezcan los campos confidenciales en «Ninguno» para el acceso público y consideren desconectar temporalmente los sitios afectados para evitar la exposición de datos.
«La solución más sencilla desde el punto de vista de seguridad puede implicar cambiar el tipo de acceso de la definición del tipo de registro a ‘Requerir permiso de entradas de registro personalizadas’ o ‘Usar lista de permisos'», dijo Costello.
La revelación se produce cuando Cymulate detalló una forma de manipular el proceso de validación de credenciales en Microsoft Entra ID (anteriormente Azure Active Directory) y eludir la autenticación en infraestructuras de identidad híbridas, lo que permite a los atacantes iniciar sesión con altos privilegios dentro del inquilino y establecer persistencia.
Sin embargo, el ataque requiere que un adversario tenga acceso de administrador en un servidor que aloja un agente de autenticación de paso a través (PTA), un módulo que permite a los usuarios iniciar sesión tanto en aplicaciones locales como en aplicaciones basadas en la nube mediante Entra ID. El problema tiene su raíz en Entra ID al sincronizar varios dominios locales con un único inquilino de Azure.
«Este problema surge cuando los agentes de autenticación de paso a través (PTA) gestionan incorrectamente las solicitudes de autenticación para diferentes dominios locales, lo que genera un posible acceso no autorizado», dijeron los investigadores de seguridad Ilan Kalendarov y Elad Beber. dicho.
«Esta vulnerabilidad convierte efectivamente al agente PTA en un agente doble, lo que permite a los atacantes iniciar sesión como cualquier usuario de AD sincronizado sin conocer su contraseña real; esto podría potencialmente otorgar acceso a un usuario administrador global si se asignaran dichos privilegios».