Oracle NetSuite-Websites können Kundeninformationen preisgeben
Cybersecurity-Forscher warnen: Es wurden tausende externe Oracle NetSuite E-Commerce-Websites entdeckt, die in bestimmten Situationen sensibler Kundendaten weitergeben könnten.
Aaron Costello von AppOmni weist auf ein potenzielles Problem in der SuiteCommerce-Plattform von NetSuite hin, das Angreifern den Zugriff auf sensible Daten ermöglichen könnte. Ursache ist eine falsche Konfiguration der Zugriffskontrollen für benutzerdefinierte Datensatztypen (Custom Record Types, CRTs). Allerdings handelt es sich hierbei nicht um eine Sicherheitslücke im NetSuite-Produkt selbst, sondern um eine fehlerhafte Konfiguration auf Kundenseite, die zum Abfluss vertraulicher Informationen führen kann. Dazu zählen vollständige Adressen und Handynummern von registrierten Kunden der betroffenen E-Commerce-Seiten.
Das beschriebene Angriffsszenario nutzt CRTs, die auf Tabellenebene die Zugriffsart „No Permission Required“ verwenden. Diese Konfiguration ermöglicht es nicht authentifizierten Benutzern, über die Datensatz- und Such-APIs von NetSuite auf Daten zuzugreifen. Damit ein solcher Angriff jedoch erfolgreich ist, muss der Angreifer die Namen der verwendeten CRTs kennen.
Um das Risiko zu minimieren, sollten Website-Administratoren die Zugriffskontrollen für CRTs verschärfen, sensible Felder für den öffentlichen Zugriff auf „Keine“ setzen und gegebenenfalls die betroffenen Websites vorübergehend offline nehmen, um die Offenlegung von Daten zu verhindern. Laut Costello besteht die einfachste Sicherheitsmaßnahme darin, den Zugriffstyp der Datensatzdefinition entweder auf „Require Custom Record Entries Permission“ oder „Use Permission List“ zu ändern.
Das Sicherheitsunternehmen Cymulate hat indes eine Schwachstelle in Microsoft Entra ID (früher Azure Active Directory) aufgedeckt, die es ermöglicht, den Validierungsprozess für Anmeldeinformationen zu manipulieren und die Authentifizierung in hybriden Identitätsinfrastrukturen zu umgehen. Diese Enthüllung wirft ein Licht auf potenzielle Risiken in der Verwaltung von Cloud- und lokalen Systemen.
Allerdings erfordert der Angriff, dass der Angreifer über Administratorrechte auf einem Server verfügt, der einen Pass-Through Authentication (PTA) Agenten hostet. Dieser Agent ermöglicht Benutzern die Anmeldung sowohl bei lokalen als auch bei Cloud-basierten Anwendungen über Entra ID. Das Problem entsteht, wenn mehrere lokale Domains mit einem einzigen Azure-Tenant synchronisiert werden, was in bestimmten Szenarien zu fehlerhaften Authentifizierungsanfragen führt.
„Das Problem entsteht, wenn PTA-Agenten Anfragen zur Authentifizierung aus verschiedenen lokalen Domänen falsch verarbeiten. So werden möglicherweise unbefugte Zugriffe ermöglicht“, erklären die Cymulate Sicherheitsexperten Ilan Kalendarov und Elad Beber. Diese Schwachstelle könnte es Angreifern ermöglichen, sich als synchronisierter AD-Benutzer anzumelden, ohne das eigentliche Passwort zu kennen. Im schlimmsten Fall könnte dadurch sogar der Zugriff auf global administrative Konten erlangt werden, falls entsprechende Rechte vergeben wurden.