Oracle’ın popüler bir Kurumsal Kaynak Planlama (ERP) platformu olan NetSuite, işletmelerin SuiteCommerce veya SiteBuilder kullanarak dışarıya bakan bir mağaza dağıtmalarına olanak tanıyan bir özelliğe sahiptir. Bu özellik, birleşik bir platform içinde e-ticaret operasyonlarını ve arka ofis süreçlerini etkinleştirerek sipariş işleme, yerine getirme ve envanter yönetimini kolaylaştırır ve otomatikleştirir.
Ancak yakın zamanda yapılan bir araştırma, SuiteCommerce platformunda özel kayıt türlerinde (CRT’ler) yanlış yapılandırılmış erişim kontrolleri nedeniyle saldırganların hassas verilere erişmesine olanak tanıyabilecek potansiyel bir sorunu ortaya çıkardı.
NetSuite’in SuiteCommerce’indeki Potansiyel Riski Ele Alma
AppOmni’de SaaS Güvenlik Araştırmaları Şefi olan Aaron Costello’ya göre, sorun binlerce canlı genel SuiteCommerce web sitesini etkileyebilir. Sorunun genellikle NetSuite’i dağıtan kuruluşların, bir e-ticaret mağazası kurma niyetleri olmasa bile, varsayılan bir stok web sitesinin kamuya açık olduğunun farkında olmamaları durumunda ortaya çıktığını açıklıyor.
Costello, “En sık ifşa edilen verilerin, kayıtlı müşterilere ait tam adresler ve cep telefonu numaraları gibi kişisel olarak tanımlanabilir bilgiler (PII) olduğu görülüyor” dedi.
Bunun NetSuite ürününün kendisinde bir güvenlik açığı olmadığını belirtmek önemlidir. Aksine, müşterilerin NetSuite ortamlarındaki erişim kontrollerini nasıl yapılandırdıklarından kaynaklanabilecek potansiyel bir sorundur.
NetSuite hassas verileri korumak için çok katmanlı bir erişim kontrol sistemi kullanır. İki tür erişim kontrolü vardır: tablo düzeyi ve alan düzeyi.
- Tablo düzeyindeki erişim denetimleri, veri tablosunun tamamını kimlerin görebileceğini belirler.
- Alan düzeyindeki erişim denetimleri, bir tablodaki belirli alanları kimlerin görebileceğini belirler.
Güvenlik riski, NetSuite’in çevrimiçi mağaza özelliğinin veritabanıyla etkileşim kurma biçiminde yatmaktadır. Bir müşteri hassas bilgilere erişmeye çalıştığında, NetSuite erişim kontrollerini kontrol ederek bu bilgileri görüntüleme iznine sahip olup olmadıklarını kontrol eder. Erişim kontrolleri düzgün bir şekilde ayarlanmamışsa, bilgisayar korsanları bu güvenlik açığından faydalanabilir ve hassas bilgilere erişebilir.
NetSuite Güvenlik Açığının Azaltılması
Hassas bilgileri korumak için işletmeler, tablo düzeyindeki erişim denetimlerinin “Özel Kayıt Girişleri İzni Gerektir” olarak ve alan düzeyindeki erişim denetimlerinin genel erişim için “Hiçbiri” olarak ayarlandığından emin olmalıdır. Bu riski ele almak için ekip, NetSuite yöneticilerinin birkaç ek adım atmasını öneriyor:
- Özel kayıt türlerindeki (CRT’ler) erişim denetimlerini gözden geçirin: “Erişim Türü”nün kimlik doğrulaması olmadan genel erişime izin verecek şekilde ayarlanmadığından emin olun.
- Hassas alanlara erişimi kısıtlayın: Tablo düzeyinde erişim sınırlı olsa bile, yöneticiler alan düzeyindeki izinleri gözden geçirmeli ve kimliği doğrulanmamış kullanıcılar için hassas bilgilerin “Hiçbiri” erişimine sahip olmasını sağlamalıdır.
- Etkilenen siteleri geçici olarak çevrimdışı bırakmayı düşünün: Geçici bir önlem olarak, kuruluşlar erişim kontrolleri düzgün şekilde yapılandırılana kadar halka açık SuiteCommerce sitelerini çevrimdışı bırakmak isteyebilirler.