
Nedavna varnostna ranljivost v okolju SuiteCommerce je izpostavila občutljive podatke strank, vključno z osebnimi podatki (PII). Napadalci imajo možnost izkoriščanja nepravilnih nastavitev nadzora dostopa na prilagojenih zapisih (CRTs) za dostop do javno dostopnih spletnih mest in krajo podatkov. To predstavlja resno grožnjo za tisoče aktivnih sistemov SuiteCommerce, ki so trenutno ranljivi zaradi nepravilno nastavljenih privzetih spletnih mest ali nezadostnih nastavitev nadzora dostopa na CRT-jih.
Oracle je priznal problem in uvedel dodatne varnostne ukrepe, vendar morajo skrbniki še vedno izvajati stroge ukrepe za nadzor dostopa in skrbno pregledati konfiguracije CRT-jev za zmanjšanje tveganja izpostavljenosti podatkov.
NetSuite uporablja arhitekturo odjemalec-strežnik, kjer UI Suiteleti, ki vključujejo obrazce in odjemalske skripte, komunicirajo s strežniškimi komponentami prek spletno dostopnih API-jev. Odjemalski skripti sprožijo te API klice za izvajanje strežniških operacij, kot so interakcije z bazo podatkov. Medtem ko oba SuiteScript 1.0 in 2.0 uporabljata ta vzorec, slednji nalaga strožje kontrole dostopa na strežniških modulih iz odjemalskih skript.
Za uporabo robustnega mehanizma za nadzor dostopa je ključnega pomena pravilno konfigurirati prilagojene vrste zapisov (CRTs), ki podobno kot tabele baz podatkov, ponujajo možnosti nadzora dostopa na ravni tabele: Zahtevaj dovoljenje za vnose prilagojenih zapisov, Uporabi seznam dovoljenj in Ni potrebnih dovoljenj. Slednje, ki omogoča odprt dostop, je običajno izogibano zaradi varnostnih posledic.

Funkcija loadRecord modula N/record pridobi podatke iz prilagojenih zapisov NetSuite, kar zahteva vrsto zapisa, notranji ID in izbirne privzete vrednosti. Uspešna izvedba vrne vrednosti dostopnih polj in vsa imena polj, ne glede na dovoljenja. Za neavtorizirane uporabnike je dostop do podatkov odvisen od tipa dostopa prilagojenega zapisa »Ni potrebnih dovoljenj« in privzetih ravni dostopa za posamezna polja.
Modul N/search v SuiteScript 2.0 ponuja fleksibilen način za poizvedovanje podatkov iz NetSuite z določanjem želenih stolpcev in filtrov. Čeprav nudi več nadzora kot API za zapise, se zanaša na nastavitev polja “Privzeta raven za iskanje/poročanje” za določitev dostopnosti podatkov, kar lahko izpostavi občutljive podatke, če ni pravilno konfigurirano. To se razlikuje od API-ja za zapise, ki zagotavlja strožji nadzor dostopa, temelječ na dovoljenjih na ravni polj.
Appomni opisuje tristočkovni dokaz koncepta (PoC) za izločanje podatkov iz NetSuite kot neavtoriziran uporabnik z izkoriščanjem prilagojene vrste zapisa (CRT) s specifičnimi nadzori dostopa. Najprej napadalec določi ID-je zapisov z uporabo klica searchRecord, nato uporabi klic loadRecord za pridobitev specifičnih polj z dostopom “Ogled”. Z uporabo imen polj, odkritih v odzivu loadRecord, napadalec še enkrat izvede klic searchRecord, ki cilja na polje z dostopom “Brez” za iskanje ali poročanje, s čimer učinkovito zaobide predvideno omejitev.
Za preprečitev izpostavljenosti podatkov je potrebno izvajati podroben nadzor dostopa z menjavanjem nastavitev dostopa za vrsto zapisa na “Zahtevaj dovoljenje za vnose prilagojenih zapisov” ali “Uporabi seznam dovoljenj”, nato prilagodite dovoljenja na ravni polj, omejujoč privzeti dostop in ravni iskanja/poročanja. V kritičnih situacijah lahko začasno izklopite vsa spletna mesta, da ustavite izločanje podatkov, pri čemer razumite, da bo to prekinilo storitev za vse uporabnike.

❕Če imate komentarje ali želite deliti svoje misli, prosimo, da jih pustite spodaj ali delite to novico na socialnih omrežjih!
💡 Namig dneva: Redno pregledujte in posodabljajte varnostne nastavitve vaših aplikacij, da bi zagotovili maksimalno zaščito vaših podatkov pred nepooblaščenimi dostopi.
Prispevek Pomanjkljivost Oracle NetSuite izpostavlja občutljive podatke hekerjem se je pojavil najprej na Cyber Security News.