محققان امنیت سایبری در مورد کشف هزاران سایت تجارت الکترونیکی خارجی Oracle NetSuite که مستعد افشای اطلاعات حساس مشتریان هستند، هشدار دادند.
محقق AppOmni گفت: «یک مشکل احتمالی در پلتفرم SuiteCommerce NetSuite میتواند به دلیل پیکربندی اشتباه کنترلهای دسترسی در custom record types (CRTs)ُ، امکان دسترسی به دادههای حساس را برای نفوذگران فراهم آورد.
شایان ذکر است که این مشکل یک ضعف امنیتی در محصول NetSuite نیست، بلکه یک پیکربندی نادرست کاربر است که میتواند منجر به نشت دادههای محرمانه شامل آدرس کامل و شماره تلفن همراه مشتریان ثبت نام شده سایتهای تجارت الکترونیک شود.
در سناریوی حملهای که توسط AppOmni شرح داده شده است از CRTهایی با کنترلهای دسترسی table-level با نوع دسترسی “بدون نیاز به مجوز” یا “No Permission Required” استفاده میشود، که با به کارگیری رکوردهای NetSuite و APIهای جستجو به کاربران غیر مجاز دسترسی به دادهها را میدهد.
گفتنی است که برای موفقیت این حمله، تعدادی پیش نیاز وجود دارد که مهمترین آنها نیاز نفوذگر به دانستن نام CRTهای در حال استفاده است.
https://thehackernews.com/2024/08/thousands-of-oracle-netsuite-sites-at.html
