Según los investigadores, miles de organizaciones que utilizan NetSuite SuiteCommerce están exponiendo sin saberlo sus datos más confidenciales como resultado de controles de acceso mal configurados en los tipos de registros personalizados (CRT) contenidos en sus instancias de SuiteCommerce. Según Aaron Costello, jefe de investigación de software como servicio (SaaS) en AppOmni, el impacto de esta configuración incorrecta es crear e implementar, sin querer y sin saberlo, un sitio web predeterminado de acceso público a través del cual se pueden exfiltrar datos con relativa facilidad. Dijo que muchos de los usuarios afectados no tenían ni la menor idea de que estaban filtrando datos a gran escala como resultado. En muchos casos, esto incluía la información de identificación personal (PII) de los clientes registrados, incluidas las direcciones postales y los números de teléfono móvil. “NetSuite es una de las principales empresas de planificación de recursos empresariales del mundo [ERP] “AppOmni gestiona sistemas y maneja datos críticos para miles de organizaciones”, afirmó Costello, quien anteriormente descubrió problemas similares que afectaban a clientes de otros proveedores de SaaS de primera línea, como Salesforce y ServiceNow. “Mi investigación descubrió que miles de estas organizaciones están filtrando datos confidenciales de clientes al público a través de configuraciones incorrectas en sus controles de acceso”, afirmó. “La escala a la que encontré que se estaban produciendo estas exposiciones es significativa. “Muchas organizaciones están luchando por implementar y mantener un programa de seguridad SaaS sólido”, afirmó Costello. “A través de investigaciones como esta, AppOmni se esfuerza por educar y equipar a las organizaciones para que puedan estar mejor preparadas para identificar y abordar los riesgos conocidos y desconocidos para sus aplicaciones SaaS”. Cómo funciona Una de las características más utilizadas de la plataforma ERP de NetSuite es la capacidad de implementar una tienda pública utilizando SuiteCommerce o SiteBuilder. Estos sitios se implementan en un subdominio del inquilino NetSuite del usuario y permiten a los clientes no autenticados registrarse, buscar y comprar sus productos directamente; el principal beneficio es proporcionar capacidades de comercio electrónico y back-office en una sola plataforma, agilizando así el procesamiento de pedidos, el cumplimiento y la gestión de inventario. Cada uno de estos sitios implementados contiene dos tipos de tabla de datos, un tipo de registro estándar (SRT), que está más bloqueado, y el CRT mencionado anteriormente, que se utiliza para almacenar datos personalizados y se considera más flexible porque se puede configurar según las necesidades del usuario. Sin embargo, según Costello, es relativamente fácil pasar por alto las distintas configuraciones necesarias para configurar correctamente el acceso a cada campo de datos. Por lo tanto, si no se ha prestado la debida atención al bloqueo de los controles de acceso para los CRT, se vuelven vulnerables a una llamada de interfaz de programación de aplicaciones (API) maliciosa a través de la cual un actor de amenazas podría, si se enterara del nombre del CRT, exfiltrar los datos. Costello reiteró que el problema no es el resultado de ninguna vulnerabilidad conocida en la suite de productos de NetSuite, sino más bien el resultado de acciones inadvertidas tomadas por los propios usuarios al configurar sus instancias. Solución del problema Lamentablemente, en este momento no es posible determinar si su organización ha sido víctima o no de una exfiltración de datos como resultado de este conjunto de circunstancias. Esto se debe a que, al momento de escribir este artículo, NetSuite no proporciona registros de transacciones para determinar el uso malicioso de las API del lado del cliente. En ausencia de esta información, se recomienda a los usuarios que revisen el informe detallado de AppOmni, que incluye un desglose técnico completo y una prueba de concepto (PoC), y si nota un patrón de ataque similar al propuesto por Costello, el consejo es ponerse en contacto con el soporte de NetSuite y solicitar los datos de registro sin procesar. La única forma garantizada de evitar el problema es endurecer los controles de acceso en los CRT, lo que implicará cambiar los permisos de acceso o las definiciones. Esto puede afectar a algunas necesidades comerciales legítimas e incluso obligar a que los sitios web legítimos dejen de estar disponibles, por lo que se recomienda a los administradores que actúen con mucho cuidado: la tarea puede resultar laboriosa. Principales amenazas para las empresas Costello dijo que estaba quedando claro que la exposición de datos no autenticados a través de aplicaciones SaaS se encuentra ahora entre las principales amenazas para las empresas, y con una funcionalidad cada vez más compleja en camino, esto solo aumentaría el riesgo. «Las organizaciones que intenten abordar este problema se enfrentarán a dificultades para hacerlo, ya que a menudo es solo a través de una investigación a medida que se pueden descubrir estas vías de ataque», escribió. «Los equipos de seguridad y los administradores de plataformas no tienen el tiempo y los recursos necesarios para abordar estos problemas, en particular las grandes empresas que han puesto en funcionamiento varias aplicaciones SaaS empresariales para satisfacer múltiples demandas en sus líneas de negocio».