{"id":1325784,"date":"2024-08-20T09:19:09","date_gmt":"2024-08-20T09:19:09","guid":{"rendered":"https:\/\/teknomers.com\/es\/miles-de-sitios-de-oracle-netsuite-corren-el-riesgo-de-exponer-informacion-de-sus-clientes\/"},"modified":"2024-08-20T09:19:13","modified_gmt":"2024-08-20T09:19:13","slug":"miles-de-sitios-de-oracle-netsuite-corren-el-riesgo-de-exponer-informacion-de-sus-clientes","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/miles-de-sitios-de-oracle-netsuite-corren-el-riesgo-de-exponer-informacion-de-sus-clientes\/","title":{"rendered":"Miles de sitios de Oracle NetSuite corren el riesgo de exponer informaci\u00f3n de sus clientes"},"content":{"rendered":"


\n<\/p>\n

\n

\ue802<\/i>20 de agosto de 2024<\/span>\ue804<\/i>Ravie Lakshmanan<\/span><\/span>Seguridad empresarial \/ Violaci\u00f3n de datos<\/span><\/p>\n<\/div>\n

\n
<\/a><\/div>\n

Los investigadores de ciberseguridad advierten sobre el descubrimiento de miles de sitios de comercio electr\u00f3nico Oracle NetSuite externos que son susceptibles de filtrar informaci\u00f3n confidencial de los clientes.<\/p>\n

“Un problema potencial en la plataforma SuiteCommerce de NetSuite podr\u00eda permitir a los atacantes acceder a datos confidenciales debido a controles de acceso mal configurados en tipos de registros personalizados (CRT)”, dijo Aaron Costello de AppOmni. dicho<\/a>.<\/p>\n

Cabe destacar que el problema no es una falla de seguridad en el producto NetSuite, sino una configuraci\u00f3n incorrecta del cliente que puede provocar la fuga de datos confidenciales. La informaci\u00f3n expuesta incluye direcciones completas y n\u00fameros de tel\u00e9fono m\u00f3vil de clientes registrados en los sitios de comercio electr\u00f3nico.<\/p>\n

\"Ciberseguridad\"<\/a><\/center><\/div>\n

El escenario de ataque detallado por AppOmni explota los CRT que emplean controles de acceso a nivel de tabla con el tipo de acceso “No se requiere permiso”, que otorga a usuarios no autenticados acceso a los datos mediante el uso de las API de b\u00fasqueda y registro de NetSuite.<\/p>\n

Dicho esto, para que este ataque tenga \u00e9xito, hay una serie de requisitos previos, el m\u00e1s importante de los cuales es que el atacante debe conocer el nombre de los CRT en uso.<\/p>\n

Para mitigar el riesgo, se recomienda que los administradores del sitio ajusten los controles de acceso en los CRT, establezcan los campos confidenciales en “Ninguno” para el acceso p\u00fablico y consideren desconectar temporalmente los sitios afectados para evitar la exposici\u00f3n de datos.<\/p>\n

“La soluci\u00f3n m\u00e1s sencilla desde el punto de vista de seguridad puede implicar cambiar el tipo de acceso de la definici\u00f3n del tipo de registro a ‘Requerir permiso de entradas de registro personalizadas’ o ‘Usar lista de permisos'”, dijo Costello.<\/p>\n

La revelaci\u00f3n se produce cuando Cymulate detall\u00f3 una forma de manipular el proceso de validaci\u00f3n de credenciales en Microsoft Entra ID (anteriormente Azure Active Directory) y eludir la autenticaci\u00f3n en infraestructuras de identidad h\u00edbridas, lo que permite a los atacantes iniciar sesi\u00f3n con altos privilegios dentro del inquilino y establecer persistencia.<\/p>\n