Siber güvenlik araştırmacıları, hassas müşteri bilgilerini sızdırma riski bulunan binlerce Oracle NetSuite e-ticaret sitesinin dışarıya dönük olduğu konusunda uyarıyor.
AppOmni’den Aaron Costello, “NetSuite’in SuiteCommerce platformundaki olası bir sorun, saldırganların özel kayıt türlerindeki (CRT’ler) yanlış yapılandırılmış erişim kontrolleri nedeniyle hassas verilere erişmesine olanak tanıyabilir” dedi.
Burada vurgulanması gereken nokta, sorunun NetSuite ürünündeki bir güvenlik zafiyeti değil, gizli verilerin sızdırılmasına yol açabilecek bir müşteri yanlış yapılandırması olduğudur. Açığa çıkan bilgiler arasında e-ticaret sitelerinin kayıtlı müşterilerinin tam adresleri ve cep telefonu numaraları da yer almaktadır.
AppOmni tarafından ayrıntılı olarak açıklanan saldırı senaryosu, NetSuite’in kayıt ve arama API’lerini kullanarak kimliği doğrulanmamış kullanıcılara verilere erişim izni veren “İzin Gerekmiyor” erişim türüyle tablo düzeyinde erişim denetimleri kullanan CRT’leri istismar ediyor.
Bununla birlikte, bu saldırının başarılı olması için bir dizi ön koşul bulunmaktadır; bunların en başında saldırganın, kullanılan CRT’lerin adını bilmesi gelmektedir.
Riski azaltmak için site yöneticilerinin CRT’lerdeki erişim kontrollerini sıkılaştırmaları, hassas alanları genel erişim için “Hiçbiri” olarak ayarlamaları ve veri ifşasını önlemek için etkilenen siteleri geçici olarak çevrimdışı bırakmaları önerilir.
Costello, “Güvenlik açısından en kolay çözüm, kayıt türü tanımının Erişim Türünü ‘Özel Kayıt Girişleri İzni Gerektir’ veya ‘İzin Listesini Kullan’ olarak değiştirmek olabilir” dedi.
Açıklama, Cymulate’in Microsoft Entra ID’de (eski adıyla Azure Active Directory) kimlik doğrulama sürecini manipüle etmenin ve karma kimlik altyapılarında kimlik doğrulamasını atlatmanın bir yolunu ayrıntılı olarak açıklamasının ardından geldi; bu sayede saldırganların kiracı içinde yüksek ayrıcalıklarla oturum açmasına ve kalıcılık oluşturmasına olanak tanınıyor.
Ancak saldırı, saldırganın, kullanıcıların Entra ID kullanarak hem şirket içi hem de bulut tabanlı uygulamalarda oturum açmasına olanak tanıyan bir modül olan Pass-Through Authentication (PTA) aracısını barındıran bir sunucuda yönetici erişimine sahip olmasını gerektirir. Sorun, birden fazla şirket içi etki alanını tek bir Azure kiracısına senkronize ederken Entra ID’de kök salmaktadır.
Güvenlik araştırmacıları Ilan Kalendarov ve Elad Beber, “Bu sorun, farklı şirket içi etki alanları için geçişli kimlik doğrulama (PTA) aracıları tarafından kimlik doğrulama isteklerinin yanlış işlenmesiyle ortaya çıkıyor ve potansiyel yetkisiz erişime yol açıyor” dedi.
“Bu güvenlik açığı, PTA aracısını etkili bir şekilde çift taraflı bir aracıya dönüştürüyor ve saldırganların gerçek parolalarını bilmeden herhangi bir senkronize AD kullanıcısı olarak oturum açmasına olanak tanıyor; bu, böyle ayrıcalıklar atanırsa potansiyel olarak genel bir yönetici kullanıcısına erişim izni verebilir.”