Accueil > Nouvelles Cyber > Avertissement: Quatre vulnérabilités dans la plateforme ERP Sage X3 (CVE-2020-7387)
CYBER NOUVELLES

Avertissement: Quatre vulnérabilités dans la plateforme ERP Sage X3 (CVE-2020-7387)

Quatre vulnérabilités dans la plateforme ERP Sage X3 CVE-2020-7387-sensorstechforumDes chercheurs en sécurité viennent de révéler quatre vulnérabilités dans la plateforme ERP Sage X3 (Progiciel de Gestion Intégré). L'un des défauts est critique, avec un score de 10 de 10 à l'échelle CVSS. En outre, deux d'entre eux pourraient être enchaînés ensemble, permettant des prises de contrôle complètes du système et des ramifications de la chaîne d'approvisionnement, les chercheurs.




Quatre vulnérabilités dans la plateforme ERP Sage X3

Selon le rapport de sécurité Rapid7, les vulnérabilités ont été identifiées par plusieurs chercheurs de l'entreprise, dont Jonathan Peterson, Aaron Herndon, Cale Noir, Ryan Villarreal, et Willian Vu. Les problèmes ont été signalés à Sage via le processus de divulgation des vulnérabilités de Rapid7, et ont été rapidement corrigés dans les versions récentes de « Sage X3 Version 9 (les composants livrés avec Syracuse 9.22.7.2), Sage X3 RH & Version de la paie 9 (les composants livrés avec Syracuse 9.24.1.3), Version Sage X3 11 (Syracuse v11.25.2.6), et la version Sage X3 12 (Syracuse v12.10.2.8). Note, il n'y avait pas de version disponible dans le commerce 10 de Sage X3.

Les quatre vulnérabilités ont les identifiants suivants:

  • CVE-2020-7387: Divulgation du chemin d'installation de Sage X3;
  • CVE-2020-7388: Exécution de commandes à distance non authentifiées Sage X3 (RCE) en tant que SYSTEM dans le composant AdxDSrv.exe;
  • CVE-2020-7389: Injection de commande de script de variable système CHAINE;
  • CVE-2020-7390: Vulnérabilité XSS stockée sur la page « Modifier » du profil utilisateur;

La plus grave des vulnérabilités se situe dans la fonction d'administrateur à distance de la plateforme. Le bogue pourrait créer la possibilité d'une attaque de la chaîne d'approvisionnement, similaire à l'attaque de Kaseya, dans le cas où la plate-forme est utilisée par les MSP (les fournisseurs de services gérés).

Chaînage CVE-2020-7387 et CVE-2020-7388

« En combinant CVE-2020-7387 et CVE-2020-7388, un attaquant peut d'abord connaître le chemin d'installation du logiciel affecté, puis utilisez ces informations pour transmettre des commandes au système hôte à exécuter dans le contexte SYSTEM. Cela peut permettre à un attaquant d'exécuter des commandes arbitraires du système d'exploitation pour créer des utilisateurs de niveau administrateur, installer un logiciel malveillant, et autrement prendre le contrôle complet du système à quelque fin que ce soit,» Le rapport.

Atténuer les vulnérabilités

Les utilisateurs d'entreprise de Sage X3 doivent mettre à jour leur infrastructure Sage. Les versions sur site les plus récentes de Sage X3 Version 9, Version 11, et versions 12 corriger les défauts. Cependant, au cas où les défauts ne peuvent pas être appliqués à ce moment, les clients devraient essayer les astuces d'atténuation suivantes, comme par le rapport initial:

  • Pour CVE-2020-7388 et CVE-2020-7387, n'exposez pas le port TCP AdxDSrv.exe sur un hôte exécutant Sage X3 à Internet ou à d'autres réseaux non fiables. Comme mesure préventive supplémentaire, le service adxadmin doit être complètement arrêté pendant la production.
  • Pour CVE-2020-7389, en général, les utilisateurs ne doivent pas exposer cette interface d'application Web à Internet ou à d'autres réseaux non fiables. En outre, les utilisateurs de Sage X3 doivent s'assurer que la fonctionnalité de développement n'est pas disponible dans les environnements de production. Pour plus d'informations sur la façon d'assurer cette, veuillez vous référer à la documentation des meilleures pratiques du fournisseur.
  • Dans le cas où la segmentation du réseau est incommode en raison de fonctions critiques pour l'entreprise, seuls les utilisateurs de confiance pour l'administration du système des machines qui hébergent Sage X3 doivent se voir accorder un accès de connexion à l'application Web.

Milena Dimitrova

Un écrivain et gestionnaire de contenu inspiré qui travaille avec SensorsTechForum depuis le début du projet. Un professionnel avec 10+ années d'expérience dans la création de contenu engageant. Axé sur la vie privée des utilisateurs et le développement des logiciels malveillants, elle croit fermement dans un monde où la cybersécurité joue un rôle central. Si le bon sens n'a pas de sens, elle sera là pour prendre des notes. Ces notes peuvent se tourner plus tard dans les articles! Suivre Milena @Milenyim

Plus de messages

Suivez-moi:
Gazouillement

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont marqués *

Ce site Web utilise des cookies pour améliorer l'expérience utilisateur. En utilisant notre site Web, vous consentez à tous les cookies conformément à nos politique de confidentialité.
Je suis d'accord