I ricercatori di sicurezza hanno appena rivelato quattro vulnerabilità nella piattaforma ERP Sage X3 (pianificazione delle risorse aziendali). Uno dei difetti è critico, con un punteggio di 10 su 10 sulla scala CVSS. Inoltre, due di loro potrebbero essere incatenati insieme, consentendo acquisizioni complete del sistema e ramificazioni della catena di approvvigionamento, i ricercatori hanno detto.
Quattro vulnerabilità nella piattaforma ERP Sage X3
Secondo il rapporto sulla sicurezza di Rapid7, le vulnerabilità sono state identificate da diversi ricercatori dell'azienda, compreso Jonathan Peterson, Aaron Herndon, Cale Black, Ryan Villareal, e Willian Vu. I problemi sono stati segnalati a Sage tramite il processo di divulgazione delle vulnerabilità di Rapid7, e sono stati rapidamente affrontati nelle versioni recenti di "Sage X3 Version 9 (quei componenti che spediscono con Siracusa 9.22.7.2), Sage X3 HR & Versione libro paga 9 (quei componenti che spediscono con Siracusa 9.24.1.3), Versione Sage X3 11 (Siracusa v11.25.2.6), e versione Sage X3 12 (Siracusa v12.10.2.8). Nota, non esisteva una versione disponibile in commercio 10 di Saggio X3.”
Le quattro vulnerabilità hanno i seguenti identificatori:
- CVE-2020-7387: Divulgazione del percorso di installazione di Sage X3;
- CVE-2020-7388: Esecuzione di comandi remoti non autenticati Sage X3 (RCE) come SISTEMA nel componente AdxDSrv.exe;
- CVE-2020-7389: System CHAINE Variable Script Command Injection;
- CVE-2020-7390: Vulnerabilità XSS memorizzata nella pagina "Modifica" del profilo utente;
La più grave delle vulnerabilità si trova nella funzione di amministratore remoto della piattaforma. Il bug potrebbe creare la possibilità di un attacco alla catena di approvvigionamento, simile all'attacco di Kaseya, nel caso in cui la piattaforma sia utilizzata da MSP (fornitori di servizi gestiti).
Concatenamento CVE-2020-7387 e CVE-2020-7388
"Quando si combinano CVE-2020-7387 e CVE-2020-7388, un utente malintenzionato può prima apprendere il percorso di installazione del software interessato, quindi utilizzare tali informazioni per passare i comandi al sistema host da eseguire nel contesto SYSTEM. Ciò può consentire a un utente malintenzionato di eseguire comandi arbitrari del sistema operativo per creare utenti di livello amministratore, installare software dannoso, e in altro modo assumere il controllo completo del sistema per qualsiasi scopo,”Dice il rapporto.
Mitigare le vulnerabilità
Gli utenti aziendali di Sage X3 dovrebbero aggiornare la loro infrastruttura Sage. Le versioni locali più recenti di Sage X3 Version 9, Versione 11, e versione 12 correggere i difetti. Tuttavia, nel caso in cui i difetti non possano essere applicati in questo momento, i clienti dovrebbero provare i seguenti trucchi di mitigazione, secondo il report originale:
- Per CVE-2020-7388 e CVE-2020-7387, non esporre la porta TCP AdxDSrv.exe su qualsiasi host che esegue Sage X3 a Internet o altre reti non attendibili. Come ulteriore misura preventiva, il servizio adxadmin dovrebbe essere interrotto completamente durante la produzione.
- Per CVE-2020-7389, parlando in generale, gli utenti non devono esporre questa interfaccia webapp a Internet o ad altre reti non attendibili. Inoltre, gli utenti di Sage X3 dovrebbero assicurarsi che la funzionalità di sviluppo non sia disponibile negli ambienti di produzione. Per ulteriori informazioni su come garantire questo, fare riferimento alla documentazione sulle best practice del fornitore.
- Nel caso in cui la segmentazione della rete sia scomoda a causa di funzioni aziendali critiche, solo gli utenti fidati con l'amministrazione del sistema delle macchine che ospitano Sage X3 dovrebbero avere accesso all'applicazione web.