Oracle NetSuite 的 SuiteCommerce 企业资源规划 （ERP） 平台中普遍存在错误配置，导致敏感的客户数据在数千个网站上暴露。

安全公司 AppOmni 发现了这个问题，并描述了由于对自定义记录类型 （CRT） 的访问控制配置错误，有多少使用 NetSuite 来支持电子商务的企业无意中允许了对客户记录的未经授权的访问。

这些 CRT 存储个人地址和电话号码等关键数据，使其成为网络犯罪分子的诱人目标。

“数以千计的组织通过访问控制中的错误配置向公众泄露敏感的客户数据，”AppOmni SaaS安全研究主管Aaron Costello在博客中写道。“我发现这些暴露发生的规模之大是巨大的。”

广泛的Oracle NetSuite配置错误

问题不在于NetSuite的平台本身，而在于一些网站管理员配置其商店的方式，允许未经授权的用户通过泄漏的API访问客户数据。

根据AppOmni的说法，这种错误配置主要影响SuiteCommerce上面向外部的商店，基本上允许未经授权的个人通过URL操纵来查询敏感信息，而无需身份验证。

科斯特洛在报告中写道，似乎最常暴露的敏感数据形式是注册客户的个人身份信息（PII），包括完整地址和手机号码。

NetSuite通过敦促客户审查其安全设置并遵循最佳实践来保护其CRT免受未经授权的访问，从而回应了该问题。

科斯特洛指出，尽管做出了这些努力，但许多企业可能仍然没有意识到他们的网站正在泄露敏感数据，或者他们是否正在成为目标。这是因为NetSuite不提供易于访问的交易日志，使公司难以检测它们是否已被利用。

他补充说，许多组织正在努力实施和维护强大的软件即服务（SaaS）安全计划，并表示需要更多的教育，以便组织能够更好地准备识别和解决其SaaS应用程序的已知和未知风险。

“随着供应商在其产品中引入越来越复杂的功能以保持竞争力，这些风险将变得更加普遍，”报告称。“试图解决这个问题的组织在这样做时将面临困难，因为通常只有通过定制研究才能发现这些攻击途径。

SaaS网络安全问题日益严重

NetSuite的调查结果以及最近对Snowflake平台上托管的客户帐户的攻击凸显了SaaS环境中日益增长的安全风险。

根据 AppOmni 的说法，其核心是 SaaS 平台显着改变了现代攻击面，使一些传统的攻击步骤对对手来说不必要或更容易。

具体来说，传统的洛克希德·马丁公司网络杀伤链——防御攻击的经典基础——确定了成功战役的步骤：侦察、武器化、交付、利用、安装、指挥和控制，以及对目标的行动（数据泄露、恶意软件植入）。

但在SaaS环境中，“从攻击者的角度来看，杀伤链实际上集中在几个点上：初始访问和凭证访问，以及收集和渗透，”AppOmni威胁检测首席产品经理Brandon Levene上周在Black Hat上告诉Dark Reading。

因此，威胁行为者现在正在积极针对SaaS应用程序中的企业数据;对手包括不太复杂的组织以及臭名昭著的团伙，如Scattered Spider，该公司 在传统上专注于Microsoft云环境和本地基础设施后，已经转向SaaS。

因此，随着组织扩大对 SaaS 应用程序的使用，他们必须重新考虑其网络杀伤链的方法，并相应地调整其防御措施。例如，根据AppOmni的说法，在电子商务平台的情况下，管理员应该“开始评估网站表单中字段级别的访问控制，并确定需要公开哪些字段（如果有的话）。然后，他们可以锁定那些不需要公共访问权限的字段。