Milhares de sites de e-commerce da Oracle NetSuite correm o risco de vazar informações de clientes devido à má configuração dos controles de acesso, alertam pesquisadores de segurança cibernética. Aaron Costello, da AppOmni, identificou que o problema reside no SuiteCommerce da NetSuite, onde Controles de Acesso de Tabelas mal configurados em Tipos de Registros Personalizados (CRTs) podem permitir o acesso não autenticado a dados sensíveis como endereços e números de telefone de usuários.
A exploração bem-sucedida dessa vulnerabilidade depende do conhecimento prévio, por parte do invasor, dos nomes dos CRTs utilizados. Os administradores dos sites afetados devem implementar controles de acesso mais rígidos nos CRTs, definir campos confidenciais para “Nenhum acesso” público e podem considerar tirar os sites do ar temorariamente para proteção.
Costello sugere mudar a definição de Tipo de acesso nos registros para “Exigir permissão de entradas de registros personalizados” ou “Usar lista de permissões” como uma solução fácil de segurança.
Paralelamente, a Cymulate descobriu uma falha que permite manipulação do processo de validação de credenciais no Microsoft Entra ID (anteriormente Azure Active Directory), possibilitando o login com privilégios elevados devido à má manipulação das solicitações de autenticação por agentes Pass-Through Authentication (PTA) para diferentes domínios locais. Isso poderia permitir a invasores se autenticarem como qualquer usuário do Active Directory sincronizado sem necessidade de senha e eventualmente obter acesso administrativo global.
Para mais informações atualizadas e exclusivas, siga-nos no Twitter e no LinkedIn. E continue acompanhando o TecMania para se manter bem informado.
