در معرض خطر افشای اطلاعات مشتری قرارگرفتن هزاران سایت Oracle NetSuite

محققان امنیت سایبری در مورد کشف هزاران سایت تجارت الکترونیکی خارجی Oracle NetSuite که مستعد افشای اطلاعات حساس مشتریان هستند، هشدار می‌دهند.

آرون کاستلو از AppOmni گفت[۱]: «یک مشکل احتمالی در پلتفرم SuiteCommerce NetSuite می‌تواند به مهاجمان اجازه دهد به داده‌های حساس به دلیل پیکربندی اشتباه کنترل‌های دسترسی در انواع رکوردهای سفارشی (CRT) دسترسی پیدا کنند.»

در اینجا شایان‌ذکر است که این مشکل یک ضعف امنیتی در محصول NetSuite نیست، بلکه یک پیکربندی نادرست مشتری است که می‌تواند منجر به نشت داده‌های محرمانه شود. اطلاعات افشاشده شامل آدرس کامل و شماره تلفن همراه مشتریان ثبت‌نام‌شده سایت‌های تجارت الکترونیک می‌باشد.

سناریوی حمله که توسط AppOmni شرح داده‌شده است از CRTهایی استفاده می‌کند که از کنترل‌های دسترسی سطح جدولی با نوع دسترسی “بدون نیاز به مجوز” استفاده می‌کنند، که با استفاده از رکوردهای NetSuite و APIهای جستجو، به کاربران غیرقانونی دسترسی به داده‌ها را می‌دهد.

گفته می‌شود، برای موفقیت این حمله، تعدادی پیش‌نیاز وجود دارد، که مهم‌ترین آن‌ها نیاز مهاجم به دانستن نام CRT های در حال استفاده است.

برای کاهش خطر، توصیه می‌شود که مدیران سایت کنترل‌های دسترسی را در CRT سخت‌تر کنند، فیلدهای حساس را برای دسترسی عمومی روی «هیچ» تنظیم کنند و برای جلوگیری از قرار گرفتن در معرض داده‌ها، به‌طور موقت سایت‌های آسیب‌دیده را آفلاین کنند.

کاستلو گفت: «ساده‌ترین راه‌حل ازنظر امنیتی ممکن است شامل تغییر نوع دسترسی تعریف نوع رکورد به «مجوز ورودی‌های ثبت سفارشی» یا «استفاده از فهرست مجوز» باشد.

این افشاگری در حالی صورت می‌گیرد که Cymulate روشی را برای دست‌کاری فرآیند تأیید اعتبار در Microsoft Entra ID (Azure Active Directory سابق) و دور زدن احراز هویت در زیرساخت‌های هویت ترکیبی، به مهاجمان اجازه می‌دهد تا با امتیازات بالا در میزبان وارد شوند و پایداری را ایجاد کنند[۲].

بااین‌حال، این حمله مستلزم دسترسی ادمین به سروری است که میزبان یک عامل تأیید عبور (PTA) است، ماژولی که به کاربران اجازه می‌دهد با استفاده از Entra ID به برنامه‌های داخلی و مبتنی بر ابر وارد شوند. هنگام همگام‌سازی چندین دامنه داخلی با یک میزبان Azure، این مشکل در Entra ID ریشه دارد.

ایلان کالنداروف و الاد ببر، محققین امنیتی، می‌گویند[۳]: «این مسئله زمانی به وجود می‌آید که درخواست‌های احراز هویت توسط عوامل تأیید اعتبار عبور (PTA) برای دامنه‌های مختلف داخلی مورداستفاده قرار می‌گیرد و منجر به دسترسی غیرمجاز بالقوه می‌شود.»

این آسیب‌پذیری به‌طور مؤثر عامل PTA را به یک عامل دوگانه تبدیل می‌کند و به مهاجمان اجازه می‌دهد تا به‌عنوان هر کاربر همگام‌سازی شده AD بدون دانستن رمز عبور واقعی خود وارد شوند؛ این امر به‌طور بالقوه می‌تواند به یک کاربر مدیر جهانی در صورت اختصاص چنین امتیازاتی دسترسی داشته باشد.

منابع

[۱] https://appomni.com/blog/oracle-netsuite-data-exposure-analysis

[۲] https://youtu.be/7FtJuB0fw0w

[۳] https://cymulate.com/blog/exploiting-pta-credential-validation-in-azure-ad

[۴] https://thehackernews.com/2024/08/thousands-of-oracle-netsuite-sites-at.html