آلاف المنظمات التي تستخدم مجموعة NetSuite للتجارة يزعم الباحثون أن الشركات الناشئة تقوم عن غير قصد بكشف بياناتها الأكثر حساسية نتيجة لضوابط الوصول التي تم تكوينها بشكل غير صحيح في أنواع السجلات المخصصة (CRTs) الموجودة في نسخ SuiteCommerce الخاصة بها.
وفقًا لأرون كوستيلو، رئيس قسم أبحاث البرمجيات كخدمة (SaaS) في تطبيق أومنيإن تأثير هذا التكوين الخاطئ هو إنشاء ونشر موقع ويب افتراضي يواجه الجمهور بشكل غير مقصود وغير مقصود، والذي يمكن من خلاله استخراج البيانات بسهولة نسبية.
وقال إن العديد من المستخدمين المتأثرين لم يكن لديهم أي فكرة على الإطلاق عن تسريب كميات كبيرة من البيانات نتيجة لذلك.
وفي كثير من الحالات، شمل هذا معلومات تعريفية شخصية (PII) للعملاء المسجلين، بما في ذلك العناوين البريدية وأرقام الهواتف المحمولة.
“NetSuite هي إحدى شركات تخطيط موارد المؤسسات الرائدة في العالم” [ERP] قال كوستيلو، الذي كشف سابقًا عن مشكلات مماثلة تؤثر على عملاء موردي SaaS الرئيسيين الآخرين مثل Salesforce وServiceNow: “تتولى أنظمة SaaS معالجة البيانات المهمة للأعمال لآلاف المؤسسات”.
وقال “لقد توصل بحثي إلى أن الآلاف من هذه المؤسسات تقوم بتسريب بيانات العملاء الحساسة إلى الجمهور من خلال تكوينات خاطئة في ضوابط الوصول الخاصة بها”. “إن النطاق الهائل الذي وجدت أن هذه التعرضات تحدث به كبير.
قال كوستيلو: “تواجه العديد من المؤسسات صعوبة في تنفيذ برنامج أمان قوي لخدمات البرمجيات كخدمة والحفاظ عليه. ومن خلال أبحاث مثل هذه، تسعى AppOmni إلى تثقيف المؤسسات وتجهيزها حتى تكون مستعدة بشكل أفضل لتحديد ومعالجة المخاطر المعروفة وغير المعروفة لتطبيقات خدمات البرمجيات كخدمة الخاصة بها”.
كيف يعمل
من بين أكثر الميزات استخدامًا على نطاق واسع في منصة ERP الخاصة بشركة NetSuite هي القدرة على نشر متجر عام باستخدام SuiteCommerce أو SiteBuilder. يتم نشر هذه على نطاق فرعي لمستأجر NetSuite الخاص بالمستخدم وتمكين العملاء غير الموثقين من التسجيل وتصفح وشراء منتجاتهم مباشرة – وتتمثل الفائدة الرئيسية في توفير كل من إمكانيات التجارة الإلكترونية والإدارة الخلفية في منصة واحدة، وبالتالي تبسيط معالجة الطلبات وتنفيذها وإدارة المخزون.
يحتوي كل من هذه المواقع المنشورة على نوعين من جداول البيانات، نوع السجل القياسي (SRT)، والذي يكون أكثر إحكامًا، ونوع السجل CRT المذكور أعلاه، والذي يستخدم لتخزين البيانات المخصصة ويعتبر أكثر مرونة لأنه يمكن تكوينه وفقًا لاحتياجات المستخدم. ومع ذلك، وفقًا لكوستيلو، من السهل نسبيًا تفويت الإعدادات المختلفة اللازمة لتكوين الوصول إلى كل حقل بيانات بشكل صحيح.
لذلك، إذا لم يتم الاهتمام بشكل صحيح بتأمين عناصر التحكم في الوصول إلى شاشات CRT، فإنها تصبح عرضة لهجمات خبيثة واجهة برمجة التطبيقات (API) مكالمة يمكن من خلالها لممثل التهديد – إذا أصبح على علم باسم CRT – استخراج البيانات.
وأكد كوستيلو أن المشكلة ليست نتيجة لأي ثغرة معروفة في مجموعة منتجات NetSuite، بل نتيجة لإجراءات غير مقصودة اتخذها المستخدمون أنفسهم عند إعداد مثيلاتهم.
إصلاح المشكلة
لسوء الحظ، ليس من الممكن في الوقت الحالي تحديد ما إذا كانت مؤسستك قد وقعت ضحية لتسرب البيانات نتيجة لهذه المجموعة من الظروف أم لا. وذلك لأن NetSuite لا تقدم سجلات المعاملات في وقت كتابة هذا التقرير لتحديد الاستخدام الضار لواجهات برمجة التطبيقات من جانب العميل.
في حالة عدم وجود هذه المعلومات، فمن الأفضل للمستخدمين أن يبحثوا من خلال الكتابة المتعمقة لـ AppOmni، والذي يتضمن تحليلاً فنيًا كاملاً وإثبات المفهوم (PoC)، وإذا لاحظت نمط هجوم مشابهًا لذلك الذي اقترحه Costello، فإن النصيحة هي الاتصال بدعم NetSuite وطلب بيانات السجل الخام.
الطريقة الوحيدة المضمونة لتجنب هذه المشكلة هي تشديد ضوابط الوصول إلى شاشات CRT، وهو ما سيتطلب تغيير أذونات الوصول أو التعريفات. وقد يؤثر هذا على بعض احتياجات العمل المشروعة وقد يؤدي حتى إلى إجبار مواقع الويب المشروعة على إيقاف تشغيلها، لذا يُنصح المشرفون بالتعامل بحذر شديد – فقد تكون المهمة شاقة.
أهم التهديدات التي تواجه المؤسسات
وقال كوستيلو إنه أصبح من الواضح أن الكشف عن البيانات غير المصادق عليها عبر تطبيقات SaaS أصبح الآن من بين التهديدات الرئيسية للمؤسسات، ومع الوظائف المعقدة بشكل متزايد، فإن هذا من شأنه أن يؤدي فقط إلى زيادة المخاطر.
وكتب يقول: “إن المنظمات التي تحاول معالجة هذه المشكلة ستواجه صعوبات في القيام بذلك، لأنه في كثير من الأحيان من خلال البحث المخصص فقط يمكن الكشف عن هذه السبل للهجوم”.
“لا تملك فرق الأمان ومسؤولي المنصة الوقت والموارد اللازمة لمعالجة هذه المشكلات، وخاصة الشركات الكبيرة التي قامت بتشغيل العديد من تطبيقات SaaS المؤسسية لتلبية متطلبات متعددة عبر خطوط أعمالها.”
