Pesquisadores de segurança cibernética estão alertando sobre a descoberta de milhares de websites de comércio eletrônico Oracle NetSuite voltados para o exterior que foram considerados suscetíveis a vazar informações confidenciais de clientes.
“Um possível problema na plataforma SuiteCommerce da NetSuite pode permitir que invasores acessem dados confidenciais devido a controles de acesso mal configurados em tipos de registros personalizados (CRTs)”, disse Aaron Costello, da AppOmni.
Vale ressaltar aqui que o problema não é uma falha de segurança no produto NetSuite, mas sim uma configuração incorreta do cliente que pode levar ao vazamento de dados confidenciais. As informações expostas incluem endereços completos e números de telefone celular de clientes registrados dos websites de e-commerce.
O cenário de ataque detalhado pelo AppOmni explora CRTs que empregam controles de acesso em nível de tabela com o tipo de acesso “Nenhuma permissão necessária”, que concede a usuários não autenticados acesso aos dados usando as APIs de registro e pesquisa do NetSuite.
Dito isso, para que esse ataque tenha sucesso, há uma série de pré-requisitos, sendo o principal deles a necessidade de o invasor saber o nome dos CRTs em uso.
Para mitigar o risco, é recomendável que os administradores do web site reforcem os controles de acesso nos CRTs, definam campos confidenciais como “Nenhum” para acesso público e considerem tirar temporariamente os websites afetados do ar para evitar a exposição dos dados.
“A solução mais fácil do ponto de vista da segurança pode envolver a alteração do Tipo de acesso da definição do tipo de registro para 'Exigir permissão de entradas de registro personalizadas' ou 'Usar lista de permissões'”, disse Costello.
A divulgação ocorre no momento em que a Cymulate detalhou uma maneira de manipular o processo de validação de credenciais no Microsoft Entra ID (antigo Azure Lively Listing) e contornar a autenticação em infraestruturas de identidade híbridas, permitindo que invasores efetuem login com altos privilégios dentro do locatário e estabeleçam persistência.
O ataque, no entanto, exige que um adversário tenha acesso de administrador em um servidor que hospeda um agente Go-By means of Authentication (PTA), um módulo que permite que os usuários façam login em aplicativos locais e baseados em nuvem usando o Entra ID. O problema está enraizado no Entra ID ao sincronizar vários domínios locais com um único locatário do Azure.
“Esse problema surge quando solicitações de autenticação são maltratadas por agentes de autenticação de passagem (PTA) para diferentes domínios locais, levando a um possível acesso não autorizado”, disseram os pesquisadores de segurança Ilan Kalendarov e Elad Beber.
“Essa vulnerabilidade efetivamente transforma o agente PTA em um agente duplo, permitindo que invasores efetuem login como qualquer usuário do AD sincronizado sem saber sua senha actual; isso poderia potencialmente conceder acesso a um usuário administrador world se tais privilégios fossem atribuídos.”
