Los investigadores han advertido sobre una nueva vulnerabilidad en la herramienta SuiteCommerce de NetSuite que podría exponer datos confidenciales. La vulnerabilidad, que se origina a partir de controles de acceso mal configurados, deja expuesta información personal identificable (PII) confidencial, incluidas las direcciones completas y los números de teléfono móvil de los clientes. La vulnerabilidad ya ha dejado vulnerables a varios miles de sitios web SuiteCommerce activos y el alcance del daño potencial podría ser de gran alcance. «NetSuite es uno de los principales sistemas de planificación de recursos empresariales (ERP) del mundo y maneja datos comerciales críticos para miles de organizaciones», dijo el investigador de AppOmni Aaron Costello a ITPro. «Mi investigación descubrió que miles de estas organizaciones están filtrando datos confidenciales de clientes al público a través de configuraciones incorrectas en sus controles de acceso. La escala a la que encontré que se estaban produciendo estas exposiciones es significativa», agregó. Costello señaló que el problema se puede atribuir a «la forma en que se configuran los controles de acceso en las instancias de SuiteCommerce». Estos controles de acceso están mal configurados más específicamente en los tipos de registros personalizados (CRT), una forma de tabla creada por empresas que utilizan la plataforma SuiteCommerce. Reciba nuestras últimas noticias, actualizaciones de la industria, recursos destacados y más. Utilizando un entorno de prueba para crear una prueba de concepto (PoC) para el vector de ataque, Costello describió cómo sería posible que un actor malicioso extrajera datos como un usuario no autenticado. Suponiendo que un atacante conoce el nombre del CRT, lo que se puede hacer mediante la observación del tráfico HTTP o la fuerza bruta del punto final de la API, puede obtener identificaciones de registros dentro del mismo CRT. Una vez que tiene las identificaciones de registro, el atacante puede leer los datos con «cargar registro» enviando una solicitud a la «pestaña Burp Intruder». También podría leer campos específicos utilizando las funciones de «buscar registro». Sin embargo, NetSuite no proporciona «registros de transacciones fácilmente disponibles», según el informe. Estos registros podrían ser útiles para determinar el uso malicioso de las API del lado del cliente implementadas en este vector de ataque. «Si sospecha que su organización puede haber sido víctima de un ataque que se asemeja a un patrón similar al que se analizó en esta publicación del blog, le recomendamos que se comunique con el soporte de NetSuite y solicite los datos de registro sin procesar», aconsejó Costello. Para mitigar el riesgo futuro, los administradores deben reforzar los controles de acceso en los CRT, así como convertir los campos sensibles a «Ninguno» para el acceso público para que la información no sea tan vulnerable. Los administradores también deben considerar desconectar los sitios afectados, al menos por el momento, para evitar una mayor exposición de los datos. «Muchas organizaciones están luchando por implementar y mantener un programa de seguridad SaaS sólido», dijo Costello. «A través de investigaciones como esta, AppOmni se esfuerza por educar y equipar a las organizaciones para que puedan estar mejor preparadas para identificar y abordar los riesgos conocidos y desconocidos para sus aplicaciones SaaS», agregó.