Araştırmacılar, NetSuite SuiteCommerce kullanan binlerce kuruluşun, SuiteCommerce örneklerinde bulunan özel kayıt türlerindeki (CRT’ler) yanlış yapılandırılmış erişim kontrolleri sonucunda en hassas verilerini farkında olmadan ifşa ettiğini iddia ediyor.
AppOmni’de yazılım hizmeti (SaaS) araştırmaları şefi Aaron Costello’ya göre, bu yanlış yapılandırmanın etkisi, istemeden ve bilmeden, verilerin nispeten kolay bir şekilde dışarı sızdırılabileceği, herkese açık, varsayılan bir stok web sitesinin oluşturulması ve dağıtılmasıdır.
Etkilenen kullanıcıların çoğunun, bunun sonucunda büyük miktarda veri sızdırdıklarından habersiz olduğunu söyledi.
Çoğu durumda, bu, posta adresleri ve cep telefonu numaraları da dahil olmak üzere kayıtlı müşterilerin kişisel olarak tanımlanabilir bilgilerini (PII) içeriyordu.
“NetSuite, dünyanın önde gelen kurumsal kaynak planlama çözümlerinden biridir [ERP] Daha önce Salesforce ve ServiceNow gibi diğer büyük lig SaaS tedarikçilerinin müşterilerini etkileyen benzer sorunları ortaya çıkaran Costello, “Sistemler ve binlerce kuruluşun kritik iş verilerini yönetiyor” dedi.
“Araştırmam, bu kuruluşların binlercesinin erişim kontrollerindeki yanlış yapılandırmalar yoluyla hassas müşteri verilerini kamuoyuna sızdırdığını buldu,” dedi. “Bu ifşaların gerçekleştiğini bulduğum ölçek önemli.
Costello, “Birçok kuruluş sağlam bir SaaS güvenlik programını uygulamak ve sürdürmekte zorluk çekiyor,” dedi. “AppOmni, bu tür araştırmalar aracılığıyla kuruluşları eğitmek ve donatmak için çabalıyor, böylece SaaS uygulamalarına yönelik bilinen ve bilinmeyen riskleri tespit edip ele almaya daha iyi hazırlanabiliyorlar.”
Nasıl çalışır?
NetSuite’in ERP platformunun en yaygın kullanılan özelliklerinden biri, SuiteCommerce veya SiteBuilder kullanarak genel bir mağaza dağıtma yeteneğidir. Bunlar, kullanıcının NetSuite kiracısının bir alt etki alanına dağıtılır ve kimliği doğrulanmamış müşterilerin ürünlerini doğrudan kaydetmelerine, göz atmalarına ve satın almalarına olanak tanır – ana fayda, hem e-ticaret hem de arka ofis yeteneklerini tek bir platformda sağlamak ve böylece sipariş işleme, yerine getirme ve envanter yönetimini kolaylaştırmaktır.
Bu dağıtılan sitelerin her biri iki tür veri tablosu içerir, daha sıkı bir şekilde kilitlenmiş olan standart kayıt türü (SRT) ve özel verileri depolamak için kullanılan ve kullanıcının ihtiyaçlarına göre yapılandırılabildiği için daha esnek kabul edilen yukarıda belirtilen CRT. Ancak Costello’ya göre, her veri alanına erişimi düzgün bir şekilde yapılandırmak için gereken çeşitli ayarları kaçırmak nispeten kolaydır.
Bu nedenle, CRT’ler için erişim kontrollerinin kilitlenmesine gereken önem verilmezse, tehdit aktörünün CRT’nin adını öğrenmesi durumunda verileri sızdırabileceği kötü amaçlı bir uygulama programlama arayüzü (API) çağrısına karşı CRT’ler savunmasız hale gelir.
Costello, sorunun NetSuite’in ürün paketindeki bilinen herhangi bir güvenlik açığından kaynaklanmadığını, bunun yerine kullanıcıların kendi kurulumları sırasında yaptıkları istem dışı eylemlerden kaynaklandığını yineledi.
Sorunun giderilmesi
Ne yazık ki, kuruluşunuzun bu koşullar kümesinin bir sonucu olarak veri sızdırma kurbanı olup olmadığını belirlemek şu anda mümkün değil. Bunun nedeni, yazının yazıldığı tarihte NetSuite’in istemci tarafı API’lerinin kötü amaçlı kullanımını belirlemek için işlem günlükleri sağlamamasıdır.
Bu bilgilerin bulunmaması durumunda, kullanıcılara AppOmni’nin kapsamlı teknik dökümünü ve kavram kanıtını (PoC) içeren kapsamlı yazısını okumaları önerilir. Costello’nun önerdiğine benzer bir saldırı modeli fark ederseniz, NetSuite desteğiyle iletişime geçmeniz ve ham günlük verilerini talep etmeniz önerilir.
Sorunu önlemenin tek garantili yolu, erişim izinlerini veya tanımlarını değiştirmeyi içerecek olan CRT’lerde erişim kontrollerini sıkılaştırmaktır. Bu, bazı meşru iş ihtiyaçlarını etkileyebilir ve hatta meşru web sitelerini çevrimdışı olmaya zorlayabilir, bu nedenle yöneticilerin çok dikkatli davranmaları önerilir – görev zahmetli olabilir.
İşletmeler için en büyük tehditler
Costello, SaaS uygulamaları aracılığıyla kimliği doğrulanmamış verilerin ifşa edilmesinin artık işletmeler için en büyük tehditlerden biri olduğunun giderek netleştiğini ve giderek daha karmaşık işlevlerin ortaya çıkmasıyla birlikte bunun riski daha da artıracağını söyledi.
“Bu sorunu ele almaya çalışan kuruluşlar bunu yaparken zorluklarla karşılaşacaklar, çünkü bu saldırı yolları çoğunlukla yalnızca özel araştırmalarla ortaya çıkarılabiliyor” diye yazdı.
“Güvenlik ekipleri ve platform yöneticileri, özellikle iş kollarındaki çok sayıda talebi karşılamak için birden fazla kurumsal SaaS uygulamasını faaliyete geçiren büyük işletmeler, bu sorunları ele almak için gereken zamana ve kaynaklara sahip değil.”