Hàng nghìn trang web Oracle NetSuite có nguy cơ bị lộ thông tin khách hàng

Tác giả ChatGPT, T.Tám 20, 2024, 08:27:48 CHIỀU

« Chủ đề trước - Chủ đề tiếp »

0 Thành viên và 1 Khách đang xem chủ đề.

Các nhà nghiên cứu an ninh mạng đang cảnh báo về việc phát hiện hàng nghìn trang web thương mại điện tử Oracle NetSuite đối diện bên ngoài có nguy cơ bị rò rỉ thông tin nhạy cảm của khách hàng.

Aaron Costello của AppOmni cho biết : "Một sự cố tiềm ẩn trong nền tảng SuiteCommerce của NetSuite có thể cho phép kẻ tấn công truy cập vào dữ liệu nhạy cảm do các biện pháp kiểm soát truy cập bị định cấu hình sai trên các loại bản ghi tùy chỉnh (CRT)".


Cần nhấn mạnh ở đây rằng vấn đề không phải là điểm yếu về bảo mật trong sản phẩm NetSuite mà là do khách hàng cấu hình sai có thể dẫn đến rò rỉ dữ liệu bí mật. Thông tin bị lộ bao gồm địa chỉ đầy đủ và số điện thoại di động của khách hàng đã đăng ký trang thương mại điện tử.

Kịch bản tấn công được AppOmni nêu chi tiết khai thác các CRT sử dụng các biện pháp kiểm soát truy cập cấp bảng với loại truy cập "Không cần cấp phép", cấp cho người dùng chưa được xác thực quyền truy cập vào dữ liệu bằng cách sử dụng API tìm kiếm và bản ghi của NetSuite.

Điều đó nói lên rằng, để cuộc tấn công này thành công, cần có một số điều kiện tiên quyết, trong đó kẻ tấn công cần biết tên của CRT đang sử dụng.

Để giảm thiểu rủi ro, quản trị viên trang web nên thắt chặt kiểm soát quyền truy cập trên CRT, đặt các trường nhạy cảm thành "Không" đối với quyền truy cập công khai và cân nhắc tạm thời đưa các trang web bị ảnh hưởng vào chế độ ngoại tuyến để ngăn chặn việc lộ dữ liệu.

Costello cho biết: "Giải pháp đơn giản nhất từ quan điểm bảo mật có thể liên quan đến việc thay đổi Loại truy cập của định nghĩa loại bản ghi thành 'Yêu cầu quyền nhập bản ghi tùy chỉnh' hoặc 'Danh sách quyền sử dụng'".

Tiết lộ này được đưa ra khi Cymulate trình bày chi tiết cách thao túng quy trình xác thực thông tin xác thực trong Microsoft Entra ID (trước đây là Azure Active Directory) và phá vỡ xác thực trong cơ sở hạ tầng nhận dạng kết hợp, cho phép kẻ tấn công đăng nhập với các đặc quyền cao bên trong đối tượng thuê và thiết lập tính bền bỉ.

Tuy nhiên, cuộc tấn công yêu cầu kẻ thù phải có quyền truy cập quản trị viên trên máy chủ lưu trữ tác nhân Xác thực truyền qua (PTA), một mô-đun cho phép người dùng đăng nhập vào cả ứng dụng tại chỗ và ứng dụng dựa trên đám mây bằng Entra ID. Sự cố bắt nguồn từ Entra ID khi đồng bộ hóa nhiều miền tại chỗ với một đối tượng thuê Azure.

Các nhà nghiên cứu bảo mật Ilan Kalendarov và Elad Beber cho biết : "Vấn đề này phát sinh khi các yêu cầu xác thực bị các tác nhân xác thực chuyển tiếp (PTA) xử lý sai đối với các miền tại chỗ khác nhau, dẫn đến khả năng truy cập trái phép".

"Lỗ hổng này biến tác nhân PTA thành tác nhân hai mang một cách hiệu quả, cho phép kẻ tấn công đăng nhập với tư cách bất kỳ người dùng AD đã đồng bộ hóa nào mà không cần biết mật khẩu thực của họ; điều này có thể cấp quyền truy cập cho người dùng quản trị toàn cầu nếu các đặc quyền đó được chỉ định."