Sikkerhedsforskere afslørede netop fire sårbarheder i Sage X3 ERP-platformen (planlægning af virksomhedsressourcer). En af fejlene er kritisk, med en score på 10 ud af 10 på CVSS skala. Endvidere, to af dem kunne lænkes sammen, muliggør komplette systemovertagelser og forgreninger i forsyningskæden, forskerne sagde.
Fire sårbarheder i Sage X3 ERP-platform
Ifølge Rapid7 sikkerhedsrapport, sårbarhederne blev identificeret af flere af virksomhedens forskere, inklusive Jonathan Peterson, Aaron Herndon, Cale Black, Ryan Villarreal, og Willian Vu. Problemerne blev rapporteret til Sage via Rapid7s proces til offentliggørelse af sårbarheder, og blev hurtigt behandlet i nylige udgivelser for “Sage X3 Version 9 (de komponenter, der leveres med Syracuse 9.22.7.2), Sage X3 HR & Lønversion 9 (de komponenter, der leveres med Syracuse 9.24.1.3), Sage X3-version 11 (Syracuse v11.25.2.6), og Sage X3 version 12 (Syracuse v12.10.2.8). Note, der var ingen kommercielt tilgængelig version 10 af Sage X3. ”
De fire sårbarheder har følgende identifikatorer:
- CVE-2020-7387: Sage X3 Oplysninger om installationssti;
- CVE-2020-7388: Sage X3 Uautoriseret udførelse af fjernkommando (RCE) som SYSTEM i AdxDSrv.exe-komponenten;
- CVE-2020-7389: System CHAINE Variabel script-kommandoinjektion;
- CVE-2020-7390: Lagret XSS-sårbarhed på 'Rediger' -side i brugerprofil;
Den mest alvorlige af sårbarhederne ligger i platformens fjernadministratorfunktion. Fejlen kunne skabe mulighed for et forsyningskædeangreb, svarende til Kaseya-angrebet, hvis platformen bruges af MSP'er (administrerede tjenesteudbydere).
Kæde CVE-2020-7387 og CVE-2020-7388
“Når man kombinerer CVE-2020-7387 og CVE-2020-7388, en hacker kan først lære installationsstien til den berørte software, brug derefter disse oplysninger til at overføre kommandoer til værtssystemet, der skal køres i SYSTEM-sammenhæng. Dette kan give en hacker mulighed for at køre vilkårlige operativsystemkommandoer for at oprette brugere på administratorniveau, installer ondsindet software, og på anden måde tage fuld kontrol over systemet til ethvert formål,”Hedder det i rapporten.
Afhjælpning af sårbarhederne
Virksomhedsbrugere af Sage X3 bør opdatere deres Sage-infrastruktur. De seneste lokale versioner af Sage X3 Version 9, Version 11, og version 12 rette manglerne. Men, hvis fejlene ikke kan anvendes på dette tidspunkt, kunder skal prøve følgende afbrydende tricks, som pr den oprindelige rapport:
- Til CVE-2020-7388 og CVE-2020-7387, udsæt ikke AdxDSrv.exe TCP-porten på nogen vært, der kører Sage X3, til internettet eller andre ikke-tillid til netværk. Som en yderligere forebyggende foranstaltning, adxadmin-tjenesten skal stoppes helt, mens den er i produktion.
- Til CVE-2020-7389, Generelt sagt, brugere bør ikke udsætte denne webapp-grænseflade for internettet eller andre ikke-tillid til netværk. Endvidere, brugere af Sage X3 bør sikre, at udviklingsfunktionalitet ikke er tilgængelig i produktionsmiljøer. For mere information om at sikre dette, Der henvises til leverandørens dokumentation for bedste praksis.
- I tilfælde af at netværkssegmentering er ubelejlig på grund af forretningskritiske funktioner, kun brugere, der har tillid til systemadministration af de maskiner, der er vært for Sage X3, skal have adgang til login til webapplikationen.
Milena Dimitrova
En inspireret forfatter og indholdschef, der har været hos SensorsTechForum siden projektets start. En professionel med 10+ års erfaring med at skabe engagerende indhold. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler! Følg Milena @Milenyim
Følg mig: