Miles de organizaciones que utilizan NetSuite SuiteCommerce están exponiendo sin saberlo sus datos más confidenciales como resultado de controles de acceso mal configurados en tipos de registros personalizados (CRT) contenidos en sus instancias de SuiteCommerce, afirman los investigadores.
Según Aaron Costello, jefe de investigación de software como servicio (SaaS) en AppOmni, el impacto de esta mala configuración es crear e implementar, de forma involuntaria y sin saberlo, un sitio web de stock predeterminado, de cara al público, a través del cual se pueden extraer datos con relativa rapidez. facilidad.
Dijo que muchos de los usuarios afectados no tenían ni idea de que, como resultado, estaban filtrando datos a granel.
En muchos casos, esto incluía la información de identificación personal (PII) de los clientes registrados, incluidas direcciones postales y números de teléfonos móviles.
“NetSuite es una de las empresas de planificación de recursos empresariales líderes en el mundo. [ERP] sistemas y maneja datos críticos para el negocio de miles de organizaciones”, dijo Costello, quien anteriormente descubrió problemas similares que afectan a clientes de otros proveedores de SaaS de las principales ligas, como Salesforce y ServiceNow.
“Mi investigación encontró que miles de estas organizaciones están filtrando datos confidenciales de sus clientes al público a través de configuraciones incorrectas en sus controles de acceso”, dijo. “La magnitud en la que descubrí que ocurren estas exposiciones es significativa.
“Muchas organizaciones están luchando por implementar y mantener un programa de seguridad SaaS sólido”, dijo Costello. “A través de investigaciones como esta, AppOmni se esfuerza por educar y equipar a las organizaciones para que puedan estar mejor preparadas para identificar y abordar riesgos conocidos y desconocidos para sus aplicaciones SaaS”.
como funciona
Una de las características más utilizadas de la plataforma ERP de NetSuite es la capacidad de implementar una tienda pública utilizando SuiteCommerce o SiteBuilder. Estos se implementan en un subdominio del inquilino NetSuite del usuario y permiten a los clientes no autenticados registrarse, navegar y comprar sus productos directamente; el principal beneficio es proporcionar capacidades de comercio electrónico y back-office en una plataforma, agilizando así el procesamiento y cumplimiento de pedidos. y gestión de inventarios.
Cada uno de estos sitios implementados contiene dos tipos de tablas de datos, un tipo de registro estándar (SRT), que está más bloqueado, y el CRT mencionado anteriormente, que se utiliza para almacenar datos personalizados y se considera más flexible porque puede ser configurado según las necesidades del usuario. Sin embargo, según Costello, es relativamente fácil pasar por alto las diversas configuraciones necesarias para configurar correctamente el acceso a cada campo de datos.
Por lo tanto, si no se ha prestado la debida atención a bloquear los controles de acceso a los CRT, se vuelven vulnerables a una llamada de interfaz de programación de aplicaciones (API) maliciosa a través de la cual un actor de amenazas podría, si tuviera conocimiento del nombre del CRT, exfiltrar los datos. .
Costello reiteró que el problema no es el resultado de ninguna vulnerabilidad conocida en el conjunto de productos de NetSuite, sino más bien el resultado de acciones inadvertidas tomadas por los propios usuarios al configurar sus instancias.
Solucionando el problema
Lamentablemente, en este momento no es posible determinar si su organización ha sido víctima de la filtración de datos como resultado de este conjunto de circunstancias. Esto se debe a que, al momento de escribir este artículo, NetSuite no proporciona registros de transacciones para determinar el uso malicioso de las API del lado del cliente.
En ausencia de esta información, es mejor que los usuarios lean el artículo detallado de AppOmni, que incluye un desglose técnico completo y una prueba de concepto (PoC), y si observan un patrón de ataque similar al propuesto por Costello, el consejo es ponerse en contacto con el soporte de NetSuite y solicitar los datos de registro sin procesar.
La única forma garantizada de evitar el problema es reforzar los controles de acceso a los CRT, lo que implicará cambiar los permisos o definiciones de acceso. Esto puede afectar algunas necesidades comerciales legítimas e incluso obligar a los sitios web legítimos a desconectarse, por lo que se recomienda a los administradores que actúen con mucho cuidado: la tarea puede resultar laboriosa.
Principales amenazas para las empresas
Costello dijo que cada vez estaba más claro que la exposición de datos no autenticados a través de aplicaciones SaaS se encuentra ahora entre las principales amenazas para las empresas, y con una funcionalidad cada vez más compleja en camino, esto sólo aumentaría el riesgo.
“Las organizaciones que intenten abordar este problema enfrentarán dificultades al hacerlo, ya que a menudo es sólo a través de investigaciones personalizadas que se pueden descubrir estas vías de ataque”, escribió.
“Los equipos de seguridad y los administradores de plataformas no tienen el tiempo ni los recursos necesarios para abordar estos problemas, en particular las grandes empresas que han puesto en funcionamiento varias aplicaciones SaaS empresariales para satisfacer múltiples demandas en sus líneas de negocio”.