Vulnérabilités de sécurité dans NetSuite : des milliers d’utilisateurs exposés à des fuites de données
Des milliers d’entreprises utilisant NetSuite SuiteCommerce mettent involontairement en péril leurs données sensibles en raison de configurations d’accès mal réglées dans les types d’enregistrements personnalisés (CRTs) de leurs instances SuiteCommerce, selon des chercheurs.
Aaron Costello, responsable de la recherche sur les logiciels en tant que service (SaaS) chez AppOmni, souligne que cette mauvaise configuration entraîne la création et le déploiement d’un site web par défaut accessible au public, permettant ainsi l’exfiltration de données de manière relativement simple.
Il a noté que de nombreux utilisateurs concernés n’étaient pas conscients qu’ils divulguaient des données en grande quantité. Cela inclut souvent des informations personnellement identifiables (PII) de clients enregistrés, telles que des adresses postales et des numéros de téléphone mobile.
« NetSuite est l’un des principaux systèmes de planification des ressources d’entreprise (ERP) au monde, gérant des données critiques pour de nombreuses organisations », a déclaré Costello, qui a précédemment mis en lumière des problèmes similaires touchant des clients d’autres grands fournisseurs de SaaS comme Salesforce et ServiceNow.
« Ma recherche a révélé que des milliers de ces organisations exposent des données sensibles de clients au public à cause de configurations d’accès inappropriées », a-t-il ajouté. « L’ampleur de ces fuites est significative. »
« De nombreuses organisations peinent à mettre en place et à maintenir un programme de sécurité SaaS robuste », a poursuivi Costello. « Grâce à des recherches comme celle-ci, AppOmni vise à éduquer et à équiper les organisations pour qu’elles soient mieux préparées à identifier et à gérer les risques connus et inconnus liés à leurs applications SaaS. »
Fonctionnement de NetSuite SuiteCommerce
Une des fonctionnalités les plus populaires de la plateforme ERP de NetSuite est la possibilité de déployer une boutique en ligne via SuiteCommerce ou SiteBuilder. Ces boutiques sont hébergées sur un sous-domaine du locataire NetSuite de l’utilisateur, permettant aux clients non authentifiés de s’inscrire, de naviguer et d’acheter des produits directement. Cela offre l’avantage de combiner les capacités de commerce électronique et de gestion des opérations en une seule plateforme, facilitant ainsi le traitement des commandes, l’exécution et la gestion des stocks.
Chaque site déployé contient deux types de tables de données : un type d’enregistrement standard (SRT), qui est plus sécurisé, et le CRT mentionné précédemment, utilisé pour stocker des données personnalisées et considéré comme plus flexible car il peut être configuré selon les besoins de l’utilisateur. Cependant, selon Costello, il est relativement facile de négliger les différents paramètres nécessaires pour configurer correctement l’accès à chaque champ de données.
Par conséquent, si une attention adéquate n’est pas portée à la sécurisation des contrôles d’accès pour les CRT, ceux-ci deviennent vulnérables à un appel d’API malveillant, permettant à un acteur malveillant d’exfiltrer les données s’il parvient à connaître le nom du CRT.
Costello a précisé que le problème ne découle pas d’une vulnérabilité connue dans la suite de produits de NetSuite, mais plutôt d’actions involontaires prises par les utilisateurs lors de la configuration de leurs instances.
Solutions pour remédier à la situation
Malheureusement, il n’est pas possible pour le moment de déterminer si votre organisation a été victime d’une exfiltration de données en raison de cette situation. En effet, à l’heure actuelle, NetSuite ne fournit pas de journaux de transactions permettant d’identifier l’utilisation malveillante des API côté client.
En l’absence de ces informations, il est conseillé aux utilisateurs de consulter l’analyse approfondie d’AppOmni, qui inclut une décomposition technique complète et une preuve de concept (PoC). Si vous remarquez un schéma d’attaque similaire à celui proposé par Costello, il est recommandé de contacter le support de NetSuite et de demander les données brutes des journaux.
La seule manière garantie d’éviter ce problème est de renforcer les contrôles d’accès sur les CRT, ce qui impliquera de modifier les autorisations ou les définitions d’accès. Cela pourrait affecter certains besoins commerciaux légitimes et même forcer des sites légitimes à être hors ligne, il est donc conseillé aux administrateurs d’agir avec prudence, car cette tâche pourrait s’avérer laborieuse.
Les principales menaces pour les entreprises
Costello a souligné que l’exposition non authentifiée des données via des applications SaaS est désormais l’une des principales menaces pour les entreprises, et avec des fonctionnalités de plus en plus complexes à venir, le risque ne fera qu’augmenter.
« Les organisations qui tentent de résoudre ce problème rencontreront des difficultés, car il est souvent nécessaire de mener des recherches sur mesure pour découvrir ces voies d’attaque », a-t-il écrit.
« Les équipes de sécurité et les administrateurs de plateforme n’ont pas le temps ni les ressources nécessaires pour s’attaquer à ces problèmes, en particulier les grandes entreprises qui ont opérationnalisé plusieurs applications SaaS pour répondre à de multiples exigences à travers leurs lignes de produits. »
