Pesquisadores de cibersegurança estão alertando sobre a descoberta de milhares de sites de e-commerce Oracle NetSuite voltados para o exterior que foram encontrados suscetíveis a vazamentos de informações sensíveis dos clientes.
"Um problema potencial na plataforma SuiteCommerce da NetSuite poderia permitir que atacantes acessassem dados sensíveis devido a controles de acesso mal configurados em tipos de registros personalizados (CRTs)", disse Aaron Costello da AppOmni.
Vale ressaltar aqui que o problema não é uma fraqueza de segurança no produto NetSuite, mas sim uma má configuração por parte do cliente que pode levar ao vazamento de dados confidenciais.
As informações expostas incluem endereços completos e números de telefones móveis de clientes registrados nos sites de e-commerce.
O cenário de ataque detalhado pela AppOmni explora CRTs que empregam controles de acesso a nível de tabela com o tipo de acesso "Sem Permissão Necessária", o que concede a usuários não autenticados o acesso aos dados por meio das APIs de registro e pesquisa da NetSuite.
Dito isso, para que este ataque tenha sucesso, há uma série de pré-requisitos, sendo o principal a necessidade de o atacante conhecer o nome dos CRTs em uso.
Para mitigar o risco, recomenda-se que os administradores de sites apertem os controles de acesso nos CRTs, configurem campos sensíveis para "Nenhum" para acesso público e considerem tirar temporariamente do ar os sites impactados para prevenir a exposição de dados.
"A solução mais fácil do ponto de vista de segurança pode envolver alterar o Tipo de Acesso da definição do tipo de registro para 'Requer Permissão de Entradas de Registro Personalizado' ou 'Usar Lista de Permissões'", disse Costello.
A divulgação ocorre enquanto a Cymulate detalhou uma maneira de manipular o processo de validação de credenciais no Microsoft Entra ID (anteriormente Azure Active Directory) e contornar a autenticação em infraestruturas de identidade híbridas, permitindo que atacantes façam login com altos privilégios dentro do tenant e estabeleçam persistência.
O ataque, no entanto, requer que um adversário tenha acesso administrativo em um servidor hospedando um agente de Autenticação de Passagem (PTA), um módulo que permite aos usuários fazer login em aplicativos tanto on-premises quanto baseados na nuvem usando o Entra ID.
O problema está enraizado no Entra ID ao sincronizar vários domínios on-premises em um único tenant Azure.
"Este problema surge quando solicitações de autenticação são mal geridas pelos agentes PTA para diferentes domínios on-prem, levando a um acesso não autorizado potencial", disseram os pesquisadores de segurança Ilan Kalendarov e Elad Beber.
Essa vulnerabilidade efetivamente transforma o agente PTA em um agente duplo, permitindo que atacantes façam login como qualquer usuário AD sincronizado sem conhecer sua senha real; isso poderia potencialmente conceder acesso a um usuário admin global se tais privilégios fossem atribuídos.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...