Sites Oracle NetSuite expõe dados de clientes
20 de Agosto de 2024

Pesquisadores de cibersegurança estão alertando sobre a descoberta de milhares de sites de e-commerce Oracle NetSuite voltados para o exterior que foram encontrados suscetíveis a vazamentos de informações sensíveis dos clientes.

"Um problema potencial na plataforma SuiteCommerce da NetSuite poderia permitir que atacantes acessassem dados sensíveis devido a controles de acesso mal configurados em tipos de registros personalizados (CRTs)", disse Aaron Costello da AppOmni.

Vale ressaltar aqui que o problema não é uma fraqueza de segurança no produto NetSuite, mas sim uma má configuração por parte do cliente que pode levar ao vazamento de dados confidenciais.

As informações expostas incluem endereços completos e números de telefones móveis de clientes registrados nos sites de e-commerce.

O cenário de ataque detalhado pela AppOmni explora CRTs que empregam controles de acesso a nível de tabela com o tipo de acesso "Sem Permissão Necessária", o que concede a usuários não autenticados o acesso aos dados por meio das APIs de registro e pesquisa da NetSuite.

Dito isso, para que este ataque tenha sucesso, há uma série de pré-requisitos, sendo o principal a necessidade de o atacante conhecer o nome dos CRTs em uso.

Para mitigar o risco, recomenda-se que os administradores de sites apertem os controles de acesso nos CRTs, configurem campos sensíveis para "Nenhum" para acesso público e considerem tirar temporariamente do ar os sites impactados para prevenir a exposição de dados.

"A solução mais fácil do ponto de vista de segurança pode envolver alterar o Tipo de Acesso da definição do tipo de registro para 'Requer Permissão de Entradas de Registro Personalizado' ou 'Usar Lista de Permissões'", disse Costello.

A divulgação ocorre enquanto a Cymulate detalhou uma maneira de manipular o processo de validação de credenciais no Microsoft Entra ID (anteriormente Azure Active Directory) e contornar a autenticação em infraestruturas de identidade híbridas, permitindo que atacantes façam login com altos privilégios dentro do tenant e estabeleçam persistência.

O ataque, no entanto, requer que um adversário tenha acesso administrativo em um servidor hospedando um agente de Autenticação de Passagem (PTA), um módulo que permite aos usuários fazer login em aplicativos tanto on-premises quanto baseados na nuvem usando o Entra ID.

O problema está enraizado no Entra ID ao sincronizar vários domínios on-premises em um único tenant Azure.

"Este problema surge quando solicitações de autenticação são mal geridas pelos agentes PTA para diferentes domínios on-prem, levando a um acesso não autorizado potencial", disseram os pesquisadores de segurança Ilan Kalendarov e Elad Beber.

Essa vulnerabilidade efetivamente transforma o agente PTA em um agente duplo, permitindo que atacantes façam login como qualquer usuário AD sincronizado sem conhecer sua senha real; isso poderia potencialmente conceder acesso a um usuário admin global se tais privilégios fossem atribuídos.

Publicidade

Black November Solyd 2024

Em nenhum outro momento você conseguirá pagar tão pouco em um treinamento e certificação Solyd. A Solyd não te oferece um simples curso online. Mas sim uma experiência completa de aulas com três profissionais que vivem e trabalham como um hacker 24 horas por dia, que se dedicam durante todo ano a tirar seus sonhos de criança do papel. Ter algo desse nível era impossível há apenas 10 anos atrás, e hoje conseguimos entregar o melhor programa de educação em hacking do mundo. O melhor dia para começar sempre foi HOJE. Saiba mais...