Binlerce Oracle NetSuite Sitesi Müşteri Bilgilerini İfşa Etme Riskiyle Karşı Karşıya

AppOmni'den Aaron Costello, "NetSuite'in SuiteCommerce platformundaki potansiyel bir sorun, özel kayıt türlerindeki (CRT'ler) yanlış yapılandırılmış erişim kontrolleri nedeniyle saldırganların hassas verilere erişmesine izin verebilir" dedi.

Burada, sorunun NetSuite ürünündeki bir güvenlik zayıflığı değil, gizli verilerin sızmasına yol açabilecek bir müşteri yanlış yapılandırması olduğunu vurgulamakta fayda var. Açığa çıkan bilgiler, e-ticaret sitelerinin kayıtlı müşterilerinin açık adreslerini ve cep telefonu numaralarını içerir.

AppOmni tarafından ayrıntılı olarak açıklanan saldırı senaryosu, NetSuite'in kayıt ve arama API'lerini kullanarak kimliği doğrulanmamış kullanıcılara verilere erişim izni veren "İzin Gerekmez" erişim türüyle tablo düzeyinde erişim denetimleri kullanan CRT'lerden yararlanır.

Bununla birlikte, bu saldırının başarılı olması için, en önemlisi saldırganın kullanımda olan CRT'lerin adını bilmesi gereken bir dizi ön koşul vardır.

Riski azaltmak için site yöneticilerinin CRT'lerde erişim denetimlerini sıkılaştırması, hassas alanları genel erişim için "Yok" olarak ayarlaması ve verilerin açığa çıkmasını önlemek için etkilenen siteleri geçici olarak çevrimdışına almayı düşünmeleri önerilir.

Costello, "Güvenlik açısından en kolay çözüm, kayıt türü tanımının Erişim Türünü 'Özel Kayıt Girişleri İzni İste' veya 'Kullanım İzni Listesi' olarak değiştirmeyi içerebilir" dedi.

Açıklama, Cymulate'in Microsoft Entra ID'deki (eski adıyla Azure Active Directory) kimlik doğrulama sürecini manipüle etmenin ve hibrit kimlik altyapılarında kimlik doğrulamasını atlatmanın bir yolunu ayrıntılı olarak açıklamasıyla geldi ve saldırganların kiracı içinde yüksek ayrıcalıklarla oturum açmasına ve kalıcılık sağlamasına olanak tanıdı.

Ancak saldırı, bir saldırganın, kullanıcıların Entra ID kullanarak hem şirket içi hem de bulut tabanlı uygulamalarda oturum açmasına olanak tanıyan bir modül olan Geçişli Kimlik Doğrulama (PTA) aracısını barındıran bir sunucuda yönetici erişimine sahip olmasını gerektirir. Sorun, birden çok şirket içi etki alanını tek bir Azure kiracısıyla eşitlerken Entra ID'den kaynaklanır.

Güvenlik araştırmacıları Ilan Kalendarov ve Elad Beber, "Bu sorun, kimlik doğrulama istekleri farklı şirket içi etki alanları için doğrudan kimlik doğrulama (PTA) aracıları tarafından yanlış kullanıldığında ortaya çıkar ve bu da potansiyel yetkisiz erişime yol açar" dedi.

"Bu güvenlik açığı, PTA aracısını etkili bir şekilde çift aracıya dönüştürüyor ve saldırganların gerçek parolalarını bilmeden senkronize edilmiş herhangi bir AD kullanıcısı olarak oturum açmasına izin veriyor; Bu, bu tür ayrıcalıklar atanmışsa potansiyel olarak bir genel yönetici kullanıcısına erişim sağlayabilir."

Diğer haberlerimiz hakkında daha fazla bilgi için Twitter sayfamızı, Instagram sayfamızı ve LinkedIn sayfamızı takip etmeyi unutmayın.

0 Yorum

Henüz Yorum Yapılmamıştır.! İlk Yorum Yapan Siz Olun

Yorum Gönder

Lütfen tüm alanları doldurunuz!

GamerMekanı

E-Bülten Aboneliği