I ricercatori hanno scoperto una vulnerabilità nella piattaforma di ecommerce SuiteCommerce di Oracle Netsuite che potrebbe consentire agli attori delle minacce di rubare dati sensibili dai siti web.
Un rapporto di AppOmni ha rivelato che la vulnerabilità deriva da controlli di accesso non correttamente configurati nelle istanze di SuiteCommerce, in particolare all'interno dei tipi di record personalizzati (CRT) - tabelle create dai clienti aziendali di SuiteCommerce.
Queste tabelle contengono solitamente dati critici sui clienti e informazioni sulle operazioni aziendali. I malintenzionati che riescono ad accedere a questi dati possono rubare indirizzi dei clienti, numeri di telefono, cronologia degli ordini e altro ancora.
Lavorare su una correzione
Secondo i ricercatori di AppOmni, la vulnerabilità potrebbe mettere a rischio molte piccole e medie imprese, che raramente dispongono delle risorse necessarie per identificare e risolvere bug come questo.
La buona notizia è che NetSuite ha già riconosciuto le scoperte di AppOmni e si dice che stia lavorando a una patch. Ha anche detto a tutti gli utenti di SuiteCommerce di rivedere le impostazioni di sicurezza e di applicare le best practice suggerite, in quanto è il modo corretto di proteggere le CRT contro gli attori delle minacce e altri utenti non autenticati.
"Nel corso della mia attività di ricerca sulla sicurezza SaaS, è sempre più chiaro che l'esposizione di dati non autenticati attraverso le applicazioni SaaS è tra le principali minacce per le aziende", ha scritto Aaron Costello, responsabile della ricerca sulla sicurezza SaaS di AppOmni, nella sua analisi. "Inoltre, man mano che i fornitori introducono funzionalità sempre più complesse nei loro prodotti per rimanere competitivi, questi rischi diventeranno ancora più diffusi".
Costello è convinto che le organizzazioni faranno fatica ad affrontare questi problemi, poiché spesso vengono scoperti "solo attraverso una ricerca su misura", per la quale molte aziende non hanno il tempo o il denaro necessario.
Ciò è particolarmente vero per le grandi aziende "che hanno reso operative diverse applicazioni SaaS aziendali per soddisfare diverse esigenze nelle loro linee di business".
