20 de agosto de 2024Ravie LakshmananSeguridad empresarial / Violación de datos Los investigadores de ciberseguridad advierten sobre el descubrimiento de miles de sitios de comercio electrónico de Oracle NetSuite que se enfrentan al exterior y que han sido considerados susceptibles de filtrar información confidencial de los clientes. «Un problema potencial en la plataforma SuiteCommerce de NetSuite podría permitir a los atacantes acceder a datos confidenciales debido a controles de acceso mal configurados en tipos de registros personalizados (CRT)», dijo Aaron Costello de AppOmni. Vale la pena enfatizar aquí que el problema no es una debilidad de seguridad en el producto NetSuite, sino más bien una configuración incorrecta del cliente que puede provocar la fuga de datos confidenciales. La información expuesta incluye direcciones completas y números de teléfono móvil de clientes registrados de los sitios de comercio electrónico. El escenario de ataque detallado por AppOmni explota los CRT que emplean controles de acceso a nivel de tabla con el tipo de acceso «No se requiere permiso», que otorga a los usuarios no autenticados acceso a los datos mediante el uso de las API de registro y búsqueda de NetSuite. Dicho esto, para que este ataque tenga éxito, hay una serie de requisitos previos, siendo el más importante la necesidad de que el atacante conozca el nombre de los CRT en uso. Para mitigar el riesgo, se recomienda que los administradores del sitio ajusten los controles de acceso en los CRT, establezcan los campos sensibles en «Ninguno» para el acceso público y consideren desconectar temporalmente los sitios afectados para evitar la exposición de los datos. «La solución más sencilla desde el punto de vista de la seguridad puede implicar cambiar el tipo de acceso de la definición del tipo de registro a ‘Requerir permiso de entradas de registro personalizado’ o ‘Usar lista de permisos'», dijo Costello. La revelación se produce cuando Cymulate detalló una forma de manipular el proceso de validación de credenciales en Microsoft Entra ID (anteriormente Azure Active Directory) y eludir la autenticación en infraestructuras de identidad híbrida, lo que permite a los atacantes iniciar sesión con altos privilegios dentro del inquilino y establecer la persistencia. El ataque, sin embargo, requiere que un adversario tenga acceso de administrador en un servidor que aloja un agente de autenticación de paso a través (PTA), un módulo que permite a los usuarios iniciar sesión tanto en aplicaciones locales como basadas en la nube utilizando Entra ID. El problema tiene su raíz en Entra ID cuando se sincronizan varios dominios locales con un único inquilino de Azure. «Este problema surge cuando los agentes de autenticación de paso a través (PTA) gestionan incorrectamente las solicitudes de autenticación para diferentes dominios locales, lo que genera un posible acceso no autorizado», dijeron los investigadores de seguridad Ilan Kalendarov y Elad Beber. «Esta vulnerabilidad convierte efectivamente al agente PTA en un agente doble, lo que permite a los atacantes iniciar sesión como cualquier usuario de AD sincronizado sin conocer su contraseña real; esto podría otorgar acceso a un usuario administrador global si se asignaran dichos privilegios». ¿Le resultó interesante este artículo? Síganos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.