محققان امنیت سایبری کشف کردهاند که هزاران سایت تجارت الکترونیک که از پلتفرم Oracle NetSuite استفاده میکنند، اطلاعات حساس مشتریان را به دلیل پیکربندی نادرست کنترل دسترسی در معرض خطر قرار دادهاند. این مشکل به ویژه در انواع رکوردهای سفارشی (CRTs) که توسط مشتریان NetSuite ایجاد شدهاند، مشاهده میشود.
براساس یافتههای AppOmni، هزاران وبسایت عمومی اطلاعات حساس مشتریان، از جمله آدرسهای کامل و شماره تلفنهای همراه، را به دلیل این پیکربندی نادرست افشا میکنند. در بسیاری از موارد، این مشکل به دلیل استفاده از یک وبسایت پیشفرض عمومی پس از خرید نسخه NetSuite اتفاق افتاده است.
این امر می تواند به یک مهاجم اجازه دهد تا درخواست های HTML ایجاد کند که منجر به بازگشت سوابق کاربر شود، در بیشتر موارد اطلاعاتی مانند اطلاعات آدرس و مشخصات تماس.
سناریوی حملهای که AppOmni تشریح کرده، از CRT هایی با دسترسی آزاد استفاده میکند. این بدان معناست که کاربران بدون نیاز به احراز هویت میتوانند از طریق APIهای NetSuite به دادهها دسترسی پیدا کنند. البته، برای انجام این حمله، مهاجم باید نام دقیق این CRTها را بداند. از طرف دیگر، Cymulate راهی برای دور زدن سیستم احراز هویت Microsoft Entra ID (که قبلاً Azure AD نامیده میشد) پیدا کرده است. برای انجام این حمله، مهاجم نیاز به دسترسی به یک حساب مدیریتی خاص دارد که بر روی سروری قرار دارد که مسئولیت کنترل دسترسی کاربران را بر عهده دارد. مشکل اصلی این حمله به نحوه اتصال چندین سیستم به یکدیگر مربوط میشود.
این مشکل زمانی رخ میدهد که درخواستهای ورود کاربران به سیستمهای مختلف به اشتباه مدیریت میشود. این اشتباه به دلیل نحوه کارکرد یک بخش خاص از سیستم امنیتی به نام "عامل احراز هویت گذرگاهی" (PTA) ایجاد میشود. این بخش معمولاً برای تأیید هویت کاربران استفاده میشود، اما در این حالت به جای محافظت از سیستم، راه را برای هکرها باز میکند. هکرها میتوانند از این ضعف استفاده کنند و بدون داشتن رمز عبور اصلی، به راحتی وارد سیستم شوند. حتی ممکن است بتوانند به عنوان مدیر اصلی سیستم عمل کنند و به تمام اطلاعات و تنظیمات سیستم دسترسی پیدا کنند.
توصیههای امنیتی
برای کاهش خطر، توصیه میشود که مدیران سایت، کنترل دسترسی بر روی CRTها را تقویت کنند، فیلدهای حساس را برای دسترسی عمومی روی "None" تنظیم کنند و سایتهای تحت تأثیر را به طور موقت برای جلوگیری از افشای دادهها آفلاین کنند.
منبعخبر:
https://thehackernews.com/2024/08/thousands-of-oracle-netsuite-sites-t.html
- 44