آسیب‌پذیری در سایت‌های Oracle NetSuite

محققان امنیت سایبری کشف کرده‌اند که هزاران سایت تجارت الکترونیک که از پلتفرم Oracle NetSuite استفاده می‌کنند، اطلاعات حساس مشتریان را به دلیل پیکربندی نادرست کنترل دسترسی در معرض خطر قرار داده‌اند. این مشکل به ویژه در انواع رکوردهای سفارشی (CRTs) که توسط مشتریان NetSuite ایجاد شده‌اند، مشاهده می‌شود.
براساس یافته‌های AppOmni، هزاران وب‌سایت عمومی اطلاعات حساس مشتریان، از جمله آدرس‌های کامل و شماره تلفن‌های همراه، را به دلیل این پیکربندی نادرست افشا می‌کنند. در بسیاری از موارد، این مشکل به دلیل استفاده از یک وب‌سایت پیش‌فرض عمومی پس از خرید نسخه NetSuite اتفاق افتاده است.
این امر می تواند به یک مهاجم اجازه دهد تا درخواست های HTML ایجاد کند که منجر به بازگشت سوابق کاربر شود، در بیشتر موارد اطلاعاتی مانند اطلاعات آدرس و مشخصات تماس.
سناریوی حمله‌ای که AppOmni تشریح کرده، از CRT هایی با دسترسی آزاد استفاده می‌کند. این بدان معناست که کاربران بدون نیاز به احراز هویت می‌توانند از طریق  APIهای NetSuite به داده‌ها دسترسی پیدا کنند. البته، برای انجام این حمله، مهاجم باید نام دقیق این  CRTها را بداند. از طرف دیگر، Cymulate راهی برای دور زدن سیستم احراز هویت Microsoft Entra ID (که قبلاً Azure AD نامیده می‌شد) پیدا کرده است. برای انجام این حمله، مهاجم نیاز به دسترسی به یک حساب مدیریتی خاص دارد که بر روی سروری قرار دارد که مسئولیت کنترل دسترسی کاربران را بر عهده دارد. مشکل اصلی این حمله به نحوه اتصال چندین سیستم به یکدیگر مربوط می‌شود.
این مشکل زمانی رخ می‌دهد که درخواست‌های ورود کاربران به سیستم‌های مختلف به اشتباه مدیریت می‌شود. این اشتباه به دلیل نحوه کارکرد یک بخش خاص از سیستم امنیتی به نام "عامل احراز هویت گذرگاهی" (PTA) ایجاد می‌شود. این بخش معمولاً برای تأیید هویت کاربران استفاده می‌شود، اما در این حالت به جای محافظت از سیستم، راه را برای هکرها باز می‌کند. هکرها می‌توانند از این ضعف استفاده کنند و بدون داشتن رمز عبور اصلی، به راحتی وارد سیستم شوند. حتی ممکن است بتوانند به عنوان مدیر اصلی سیستم عمل کنند و به تمام اطلاعات و تنظیمات سیستم دسترسی پیدا کنند.

توصیه‌های امنیتی
برای کاهش خطر، توصیه می‌شود که مدیران سایت، کنترل دسترسی بر روی CRTها را تقویت کنند، فیلدهای حساس را برای دسترسی عمومی روی "None" تنظیم کنند و سایت‌های تحت تأثیر را به طور موقت برای جلوگیری از افشای داده‌ها آفلاین کنند.

منبع‌خبر:

https://thehackernews.com/2024/08/thousands-of-oracle-netsuite-sites-t.html