Aviso sobre amenazas de ciberseguridad:

Aviso sobre amenazas de ciberseguridad:

Oracle NetSuite EXPUESTOS

Se ha descubierto que los sitios de comercio electrónico de Oracle NetSuite que se muestran externamente pueden exponer información confidencial de clientes si se configuran de manera incorrecta

¿Cuál es la amenaza?

Se ha descubierto que las plataformas SuiteCommerce de Oracle Netsuite suelen estar mal configuradas, lo que permite a los atacantes obtener acceso a direcciones completas y números de teléfono móvil de clientes registrados. Hay dos lugares en NetSuite para proteger los datos: el nivel de tipo de registro personalizado (CRT) y/o el tipo de campo. La configuración incorrecta habitual en muchos sitios de NetSuite es utilizar el permiso “No se requiere permiso” en algunos de sus CRT.

Si estos permisos estan mal configurados, un atacante puede descubrir los nombres de los campos y los CRT, lo que le permite filtrar datos a través de llamadas API estándar, Sin embargo, el permiso predeterminado para las búsquedas es abierto, lo que permite que un atacante pueda buscar datos si logra filtrar los nombres y los identificadores de los campos.

¿Por qué es de relevancia?

Es importante tener en cuenta que no se trata de una configuración incorrecta común. Los investigadores han encontrado miles de sitios externos con esta configuración incorrecta. El problema probablemente surja cuando no se implementan los controles de compensación adecuados después de configurar los permisos de CTR para que se abran.

¿Cuál es el riesgo?

Un sitio de Netsuite SuiteCommerce configurado incorrectamente permite a los atacantes acceder a datos confidenciales de los clientes, incluidos nombres, direcciones, números de teléfono y otra información.

Recomendaciones

Se recomienda realizar las siguientes acciones para mejorar la seguridad de los datos disponibles a través de SuitCommerce de Oracle NetSuite:

  • Audite periódicamente los permisos y el acceso a los datos.
  • Establezca controles de acceso tanto en el CRT como en los campos.
  • Establezca el permiso predeterminado para todos los campos nuevos en “ninguno”. Un administrador tendrá que evaluar manualmente el permiso para cada campo nuevo.
  • Esto debe aplicarse tanto al “Nivel de acceso predeterminado” como al “Nivel predeterminado para búsqueda/informes”. En la mayoría de los casos, esto requerirá que el administrador restablezca los permisos utilizando una técnica diferente.
  • Capacite a los administradores sobre la configuración adecuada de los permisos del CRT para minimizar el riesgo de exposición accidental.

Empieza a ahorrar con nuestros servicios de ciberseguridad administrados, contáctanos ahora mismo:

JR

Regresar al blog

Deja un comentario

Ten en cuenta que los comentarios deben aprobarse antes de que se publiquen.