Les chercheurs en cybersécurité mettent en garde contre la découverte de milliers de sites de commerce électronique Oracle NetSuite externes susceptibles de divulguer des informations sensibles sur les clients.
« Un problème potentiel dans la plateforme SuiteCommerce de NetSuite pourrait permettre aux attaquants d’accéder à des données sensibles en raison de contrôles d’accès mal configurés sur les types d’enregistrement personnalisés (CRT) », Aaron Costello d’AppOmni dit.
Il convient de souligner ici que le problème ne réside pas dans une faille de sécurité du produit NetSuite, mais plutôt dans une mauvaise configuration du client qui peut entraîner une fuite de données confidentielles. Les informations divulguées comprennent les adresses complètes et les numéros de téléphone portable des clients enregistrés des sites de commerce électronique.
Le scénario d’attaque détaillé par AppOmni exploite les CRT qui utilisent des contrôles d’accès au niveau de la table avec le type d’accès « Aucune autorisation requise », qui accorde aux utilisateurs non authentifiés l’accès aux données en utilisant les API d’enregistrement et de recherche de NetSuite.
Cela dit, pour que cette attaque réussisse, il existe un certain nombre de conditions préalables, la principale étant que l’attaquant doit connaître le nom des CRT utilisés.
Pour atténuer le risque, il est recommandé aux administrateurs de sites de renforcer les contrôles d’accès sur les CRT, de définir les champs sensibles sur « Aucun » pour l’accès public et d’envisager de mettre temporairement les sites concernés hors ligne pour éviter l’exposition des données.
« La solution la plus simple du point de vue de la sécurité peut impliquer de modifier le type d’accès de la définition du type d’enregistrement en « Exiger l’autorisation d’entrées d’enregistrement personnalisées » ou « Utiliser la liste d’autorisations » », a déclaré Costello.
Cette divulgation intervient alors que Cymulate a détaillé un moyen de manipuler le processus de validation des informations d’identification dans Microsoft Entra ID (anciennement Azure Active Directory) et de contourner l’authentification dans les infrastructures d’identité hybrides, permettant aux attaquants de se connecter avec des privilèges élevés à l’intérieur du locataire et d’établir la persistance.
Cependant, l’attaque nécessite qu’un adversaire dispose d’un accès administrateur sur un serveur hébergeant un agent d’authentification directe (PTA), un module qui permet aux utilisateurs de se connecter à des applications sur site et dans le cloud à l’aide d’Entra ID. Le problème est lié à Entra ID lors de la synchronisation de plusieurs domaines sur site avec un seul locataire Azure.
« Ce problème survient lorsque les demandes d’authentification sont mal gérées par des agents d’authentification directe (PTA) pour différents domaines sur site, ce qui entraîne un accès potentiellement non autorisé », expliquent les chercheurs en sécurité Ilan Kalendarov et Elad Beber. dit.
« Cette vulnérabilité transforme efficacement l’agent PTA en un agent double, permettant aux attaquants de se connecter sous le nom de n’importe quel utilisateur AD synchronisé sans connaître leur mot de passe réel ; cela pourrait potentiellement accorder l’accès à un utilisateur administrateur global si de tels privilèges étaient attribués. »