Los expertos en ciberseguridad están advirtiendo sobre el descubrimiento de miles de sitios de comercio electrónico de Oracle NetSuite que están expuestos externamente, lo que los hace susceptibles a filtraciones de información confidencial de los clientes.
Aaron Costello de AppOmni señaló que podría existir un problema potencial en la plataforma SuiteCommerce de NetSuite que permitiría a los atacantes acceder a datos sensibles debido a controles de acceso mal configurados en tipos de registro personalizados (CRTs).
Es crucial destacar que el problema no radica en una debilidad de seguridad del producto de NetSuite, sino en una configuración inapropiada por parte del cliente que podría resultar en la filtración de datos confidenciales. Esta información expuesta incluye direcciones completas y números de teléfono móvil de clientes registrados en los sitios de comercio electrónico.
El escenario de ataque descrito por AppOmni aprovecha los CRTs que utilizan controles de acceso a nivel de tabla con el tipo de acceso «No se requiere permiso», lo que les otorga a usuarios no autenticados acceso a datos mediante las API de registro y búsqueda de NetSuite.
Para que este ataque tenga éxito, deben cumplirse varios requisitos previos, siendo el principal la necesidad de que el atacante conozca el nombre de los CRT utilizados.
Para mitigar el riesgo, se recomienda que los administradores del sitio refuercen los controles de acceso en los CRT, establezcan campos sensibles en «Ninguno» para el acceso público, y consideren sacar temporalmente offline los sitios afectados para evitar la exposición de datos.
Costello sugirió que una solución simple desde el punto de vista de la seguridad podría implicar cambiar el Tipo de Acceso de la definición del tipo de registro a ‘Requerir permiso para entradas personalizadas’ o ‘Usar lista de permisos’.
Cymulate recientemente reveló un método para manipular el proceso de validación de credenciales en Microsoft Entra ID (anteriormente Azure Active Directory) y burlar la autenticación en infraestructuras de identidad híbrida, lo que permite a los atacantes iniciar sesión con altos privilegios dentro del inquilino y establecer persistencia.
Sin embargo, este ataque requiere que un adversario tenga acceso de administrador en un servidor que aloje un agente de autenticación de paso (PTA), un módulo que permite a los usuarios iniciar sesión tanto en aplicaciones locales como en la nube utilizando Entra ID. El problema tiene su origen en Entra ID al sincronizar múltiples dominios locales en un solo inquilino de Azure.
Ilan Kalendarov y Elad Beber, investigadores de seguridad, afirmaron que esta vulnerabilidad convierte al agente PTA en un agente doble, lo que permite a los atacantes iniciar sesión como cualquier usuario de AD sincronizado sin necesidad de conocer su contraseña real, potencialmente concediendo acceso a un usuario administrador global si se le otorgan tales privilegios.
Vía The Hacker News
