研究人员发现,数以千计的Oracle NetSuite电子商店容易受到数据泄露的影响,敏感的客户信息也面临风险。
AppOmni 的网络安全研究人员警告说,Oracle NetSuite SuiteCommerce 平台中存在潜在问题,可能允许攻击者访问客户敏感数据。
NetSuite 是一个广泛使用的 SaaS 企业资源规划 (ERP) 平台,因其通过 SuiteCommerce 或 SiteBuilder 部署面向外部的在线商店的能力而受到重视。这些商店托管在 NetSuite 租户的子域上,使未经身份验证的客户能够直接从企业浏览、注册和购买产品。
问题不是 NetSuite 解决方案中的漏洞,而是自定义记录类型 (CRT) 上的访问控制配置错误,可能会泄露客户敏感信息。
暴露的敏感数据是注册客户的个人身份信息,包括完整地址和手机号码。
威胁参与者以 NetSuite 中的自定义记录类型 (CRT) 为目标,这些类型使用“无需权限”访问控制,允许未经身份验证的用户通过 NetSuite 的记录和搜索 API 访问数据。但是,要使攻击成功,攻击者必须首先知道正在使用的 CRT 的名称。
“我们还必须假设未经身份验证的参与者知道 CRT 的名称。在本文发表之前,存在一种可以调用的方法,该方法将返回所有 CRT 的名称。然而,这已经得到了修复,“研究人员发表的报告中写道。“今天,可以使用两种方法检索 CRT 名称。
- 暴力破解下面第一步中所示的 API 端点,使用由流行的 CRT 名称组成的单词列表,该单词列表已使用 Github 等公共资源进行整理。
- 通过在与站点交互期间观察 HTTP 流量,在响应中查找以“customrecord_”为前缀的字符串。
为了降低风险,管理员应加强对自定义记录类型 (CRT) 的访问控制,限制公众对敏感字段的访问,并考虑暂时使受影响的站点脱机以防止数据泄露。
“解决这些数据暴露问题的可靠方法是加强对 CRT 的访问控制。从安全角度来看,最简单的解决方案可能涉及将记录类型定义的访问类型更改为’需要自定义记录条目权限‘或’使用权限列表‘。实际上,许多组织都有真正的业务需求,要求公开记录类型中的某些字段。因此,我强烈建议管理员开始评估字段级别的访问控制,并确定需要公开哪些字段(如果有)。对于必须从公共访问中锁定的字段,管理员必须进行以下两项更改:
- 默认访问级别:无
- 搜索/报告的默认级别:无
发表评论
您还未登录,请先登录。
登录