Cybersecurity-onderzoekers waarschuwen voor de ontdekking van duizenden extern gerichte Oracle NetSuite e-commercesites die gevoelig zijn voor het lekken van gevoelige klantgegevens.
“Een mogelijk probleem in het SuiteCommerce-platform van NetSuite zou aanvallers toegang kunnen geven tot gevoelige gegevens als gevolg van verkeerd geconfigureerde toegangscontroles op aangepaste recordtypen (CRT’s)”, aldus Aaron Costello van AppOmni.
Het is de moeite waard om hier te benadrukken dat het probleem niet een beveiligingszwakte is in het NetSuite-product, maar eerder een verkeerde configuratie van de klant die kan leiden tot het lekken van vertrouwelijke gegevens. De blootgestelde informatie omvat volledige adressen en mobiele telefoonnummers van geregistreerde klanten van de e-commercesites.
Het door AppOmni beschreven aanvalsscenario maakt gebruik van CRT’s die gebruikmaken van toegangscontrole op tabelniveau met het toegangstype ‘Geen toestemming vereist’, waardoor niet-geverifieerde gebruikers toegang krijgen tot gegevens door gebruik te maken van de record- en zoek-API’s van NetSuite.
Om deze aanval te laten slagen, zijn er een aantal voorwaarden. De belangrijkste voorwaarde is dat de aanvaller de naam van de gebruikte CRT’s kent.
Om het risico te beperken, wordt aanbevolen dat sitebeheerders de toegangscontrole op CRT’s verscherpen, gevoelige velden instellen op ‘Geen’ voor openbare toegang en overwegen om getroffen sites tijdelijk offline te halen om blootstelling van gegevens te voorkomen.
“De eenvoudigste oplossing vanuit een beveiligingsperspectief zou kunnen zijn om het toegangstype van de recordtypedefinitie te wijzigen in ‘Machtiging voor aangepaste recordvermeldingen vereisen’ of ‘Machtigingenlijst gebruiken'”, aldus Costello.
De onthulling volgt op een gedetailleerde beschrijving van een manier waarop Cymulate het proces voor validatie van inloggegevens in Microsoft Entra ID (voorheen Azure Active Directory) kan manipuleren en authenticatie in hybride identiteitsinfrastructuren kan omzeilen. Hierdoor kunnen aanvallers zich met hoge rechten aanmelden in de tenant en persistentie creëren.
De aanval vereist echter dat een tegenstander beheerderstoegang heeft op een server die een Pass-Through Authentication (PTA)-agent host, een module waarmee gebruikers zich kunnen aanmelden bij zowel on-premises als cloudgebaseerde applicaties met behulp van Entra ID. Het probleem is geworteld in Entra ID bij het synchroniseren van meerdere on-premises domeinen met één Azure-tenant.
“Dit probleem ontstaat wanneer authenticatieverzoeken verkeerd worden afgehandeld door pass-through authentication (PTA)-agenten voor verschillende on-prem domeinen, wat kan leiden tot mogelijk ongeautoriseerde toegang”, aldus beveiligingsonderzoekers Ilan Kalendarov en Elad Beber.
“Door deze kwetsbaarheid verandert de PTA-agent in feite in een dubbele agent, waardoor aanvallers zich kunnen aanmelden als een willekeurige gesynchroniseerde AD-gebruiker zonder dat ze het wachtwoord kennen. Dit zou mogelijk toegang kunnen verlenen aan een globale beheerder als dergelijke rechten zijn toegewezen.”