Oracle NetSuite配置错误可能导致数据泄露

cybersecurity研究员AppOmni警告Oracle NetSuite SuiteCommerce平台可能存在一个潜在的问题，允许攻击者访问客户敏感数据。NetSuite是一种广泛使用的SaaS企业资源计划（ERP）平台，值得注意的是它可以部署外部-facing在线商店通过SuiteCommerce或SiteBuilder。这些商店，托管在NetSuite租户的子域名下，允许未经身份验证的客户浏览、注册和购买产品直接从业务中。该问题不是NetSuite解决方案中的漏洞，而是自定义记录类型（CRT）的访问控制配置错误，这可能泄露客户敏感数据。

泄露的敏感数据包括注册客户的PII信息，包括完整地址和移动电话号码。攻击者目标是NetSuite中的Custom Record Types（CRT），这些CRT使用“无需权限”访问控制，允许未经身份验证的用户通过NetSuite的记录和搜索API访问数据。然而，攻击者需要先知道CRT的名称。报告中写道：“我们也必须假设未经身份验证的actor知道CRT的名称。在这篇文章发布前，存在了一种方法可以 invoke，以返回CRT的名称。然而，这已经被修复了。”“今天，CRT名称可以通过两个方法提取。 使用Step One中显示的API端点，使用包含常见CRT名称的词典，通过公共资源如Github收集。”

通过观察HTTP流量与站点交互，查找以“customrecord_”开头的响应字符串。为了 mitigating the risk，管理员应该加强自定义记录类型（CRT）的访问控制，限制公共访问敏感字段，并考虑暂时将受影响的站点offline，以防止数据泄露。报告中写道：“硬化CRT的访问控制是解决这些数据泄露问题的确保方法。从安全角度来看，最简单的解决方案可能是更改记录类型定义的访问类型为‘ Require Custom Record Entries Permission’或‘Use Permission List’。”然而，在实际中，许多组织确实有将某些字段公开的合法业务需求。因此，我强烈建议管理员开始评估访问控制在字段级别，并确定哪些字段需要公开。如果需要锁定字段从公共访问，可以执行以下两个更改：

默认访问级别：None

默认搜索/报告级别：None

原文始发于微信公众号（黑猫安全）：Oracle NetSuite配置错误可能导致数据泄露