Casa > Ciber Noticias > Advertencia: Cuatro vulnerabilidades en la plataforma ERP Sage X3 (CVE-2020-7387)
CYBER NOTICIAS

Advertencia: Cuatro vulnerabilidades en la plataforma ERP Sage X3 (CVE-2020-7387)

Cuatro vulnerabilidades en la plataforma ERP Sage X3 CVE-2020-7387-sensorstechforumLos investigadores de seguridad acaban de revelar cuatro vulnerabilidades en la plataforma ERP Sage X3 (Planificación de recursos empresariales). Uno de los defectos es crítico., con una puntuación de 10 de 10 en la escala CVSS. Además, dos de ellos se podrían encadenar juntos, permitiendo adquisiciones completas del sistema y ramificaciones de la cadena de suministro, los investigadores dijeron.




Cuatro vulnerabilidades en la plataforma ERP Sage X3

Según el informe de seguridad de Rapid7, las vulnerabilidades fueron identificadas por varios de los investigadores de la empresa, incluido Jonathan Peterson, Aaron Herndon, Cale Black, Ryan Villarreal, y Willian Vu. Los problemas se informaron a Sage a través del proceso de divulgación de vulnerabilidades de Rapid7., y se abordaron rápidamente en lanzamientos recientes de "Sage X3 Version 9 (aquellos componentes que se envían con Syracuse 9.22.7.2), Sage X3 HR & Versión de nómina 9 (aquellos componentes que se envían con Syracuse 9.24.1.3), Versión Sage X3 11 (Siracusa v11.25.2.6), y la versión Sage X3 12 (Siracusa v12.10.2.8). Nota, no había una versión disponible comercialmente 10 de Sage X3 ".

Las cuatro vulnerabilidades tienen los siguientes identificadores:

  • CVE-2020-7387: Divulgación de nombre de ruta de instalación de Sage X3;
  • CVE-2020-7388: Ejecución de comandos remotos no autenticados de Sage X3 (RCE) como SISTEMA en el componente AdxDSrv.exe;
  • CVE-2020-7389: Inyección de comandos de secuencia de comandos de variable del sistema CHAINE;
  • CVE-2020-7390: Vulnerabilidad XSS almacenada en la página "Editar" del perfil de usuario;

La más grave de las vulnerabilidades se encuentra en la función de administrador remoto de la plataforma.. El error podría crear la posibilidad de un ataque a la cadena de suministro., similar al ataque de Kaseya, en caso de que la plataforma sea utilizada por MSP (proveedores de servicios gestionados).

Encadenamiento de CVE-2020-7387 y CVE-2020-7388

"Al combinar CVE-2020-7387 y CVE-2020-7388, un atacante puede conocer primero la ruta de instalación del software afectado, luego use esa información para pasar comandos al sistema host para que se ejecuten en el contexto del SISTEMA. Esto puede permitir que un atacante ejecute comandos arbitrarios del sistema operativo para crear usuarios de nivel de administrador., instalar software malicioso, y de lo contrario tomar el control completo del sistema para cualquier propósito,”Según el informe.

Mitigar las vulnerabilidades

Los usuarios empresariales de Sage X3 deben actualizar su infraestructura de Sage. Las versiones locales más recientes de Sage X3 Version 9, Versión 11, y versión 12 arreglar las fallas. Sin embargo, en caso de que los defectos no se puedan aplicar en este momento, los clientes deben probar los siguientes trucos de mitigación, según el informe original:

  • Para CVE-2020-7388 y CVE-2020-7387, no exponga el puerto TCP AdxDSrv.exe en ningún host que ejecute Sage X3 a Internet u otras redes que no sean de confianza. Como medida preventiva adicional, el servicio adxadmin debe detenerse por completo mientras está en producción.
  • Para CVE-2020-7389, generalmente hablando, Los usuarios no deben exponer esta interfaz de la aplicación web a Internet u otras redes que no sean de confianza.. Además, Los usuarios de Sage X3 deben asegurarse de que la funcionalidad de desarrollo no esté disponible en entornos de producción.. Para obtener más información sobre cómo garantizar esto, consulte la documentación de prácticas recomendadas del proveedor.
  • En caso de que la segmentación de la red sea inconveniente debido a funciones críticas para el negocio, Solo los usuarios de confianza con la administración del sistema de las máquinas que alojan Sage X3 deben tener acceso de inicio de sesión a la aplicación web..

Milena Dimitrova

Un escritor inspirado y administrador de contenido que ha estado con SensorsTechForum desde que comenzó el proyecto.. Un profesional con 10+ años de experiencia en la creación de contenido atractivo. Centrado en la privacidad de los usuarios y el desarrollo de malware, ella cree firmemente en un mundo donde la seguridad cibernética juega un papel central. Si el sentido común no tiene sentido, ella estará allí para tomar notas. Esas notas pueden convertirse más tarde en artículos! Siga Milena @Milenyim

Más Mensajes

Sígueme:
Gorjeo

Dejar un comentario

Su dirección de correo electrónico no será publicada. Los campos necesarios están marcados *

Compartir en Facebook Compartir
Cargando ...
Compartir en Twitter Pío
Cargando ...
Compartir en Google Plus Compartir
Cargando ...
Compartir en Linkedin Compartir
Cargando ...
Compartir en Digg Compartir
Compartir en Reddit Compartir
Cargando ...
Compartir en Stumbleupon Compartir
Cargando ...