Sign in

Member Benefits

Get Demands

View Business Cards

Exclusive Service

Noble Identity

AS LOW AS 1.5U /DAY

数千个Oracle云端ERP系统NetSuite组态配置不当,曝露客户敏感数据

Share

支付動態

2024-08-21

研究人员针对Oracle云端ERP系统NetSuite的用户提出警告,指出这类系统很有可能存在配置不当的情形,导致客户数据曝光,呼吁IT人员应对于相关组态进行检查

针对SaaS服务而来的资安事故,突显这类系统已成为黑客偏好下手的目标,而且影响范围往往相当广泛。例如,今年6月资安业者Mandiant揭露锁定Snowflake用户的大规模数据窃取及勒索行动,传出售票平台TicketMaster、电信业者AT&T都因此受害。这类平台潜在的资安弱点,也成为研究人员近年来关注的焦点。

资安业者AppOmni指出,Oracle旗下的云端ERP平台NetSuite广泛存在用户配置错误的情况,有可能导致敏感的客户数据在数千个网站上曝露。这项问题存在于名为SuiteCommerce电商网站组件,起因是自订记录类型(Custom Record Types,CRT)的存取控制错误组态造成。对此,研究人员呼吁,系统管理员应加强CRT项目的存取控制,避免敏感数据的字段可被公开存取,并考虑将受影响的网站下线,以防止数据外泄的危机。Oracle也针对研究人员的发现引入额外措施,防止数据不慎泄露给未经身分验证的用户,他们也提供最佳实作供IT人员参考。

NetSuite是以SaaS服务提供的ERP平台,其中相当受到欢迎的功能,就是结合了名为SuiteCommerce、SiteBuilder的功能,让企业能部署购物网站,而这些网站建置于NetSuite租户的子网域,用户可在未经身分验证的情况下浏览购物网站,或是通过相关流程购买商品。由于NetSuite集成了电子商务营运及供应链管理等功能,从而简化、自动化订单处理流程,并减少企业库存管理所需的心力。

由于NetSuite以SaaS服务型式提供,他们发现与过往揭露的ServiceNow、Salesforce弱点情况相当类似,攻击者有机会在未经身分验证的情况下,从建置于NetSuite的公开网站窃取数据,根据调查,有数千个公开的SuiteCommerce受到影响。

研究人员指出,采用这套ERP系统但无意建置购物网站的企业,很有可能不会注意到系统根据采购情形已设置了默认的库存网站,而且这个网站还是能够公开存取。而根据他们的观察,这些网站最常曝露的敏感数据,就是能够识别已注册客户的个人数据(PII),这当中通常包含完整的地址与移动电话号码。

Disclaimer:
Details

Please Play Responsibly:

Casino Games Disclosure: Select casinos are licensed by the Malta Gaming Authority. 18+