セキュリティ研究者は、SageX3ERPプラットフォームの4つの脆弱性を明らかにしました (エンタープライズリソースプランニング). 欠陥の1つは重大です, のスコアで 10 から 10 CVSSスケールで. さらに, それらのうちの2つは一緒にチェーンすることができます, 完全なシステムの乗っ取りとサプライチェーンへの影響を可能にする, 研究者は言った.
SageX3ERPプラットフォームの4つの脆弱性
Rapid7セキュリティレポートによると, 脆弱性は、会社の研究者の何人かによって特定されました, ジョナサンピーターソンを含む, アーロンハーンドン, ケールブラック, ライアン・ビジャレアル, とウィリアンVu. 問題は、Rapid7の脆弱性開示プロセスを介してSageに報告されました, 「SageX3バージョン」の最近のリリースですぐに対処されました 9 (シラキュースに同梱されているコンポーネント 9.22.7.2), セージX3HR & 給与バージョン 9 (シラキュースに同梱されているコンポーネント 9.24.1.3), セージX3バージョン 11 (シラキュースv11.25.2.6), およびSageX3バージョン 12 (シラキュースv12.10.2.8). ノート, 市販のバージョンはありませんでした 10 セージX3の。」
4つの脆弱性には次の識別子があります:
- CVE-2020-7387: SageX3のインストールパス名の開示;
- CVE-2020-7388: SageX3認証されていないリモートコマンドの実行 (RCE) AdxDSrv.exeコンポーネントのシステムとして;
- CVE-2020-7389: システムCHAINE可変スクリプトコマンドインジェクション;
- CVE-2020-7390: ユーザープロファイルの「編集」ページにXSSの脆弱性を保存;
最も深刻な脆弱性は、プラットフォームのリモート管理者機能にあります. このバグは、サプライチェーン攻撃の可能性を生み出す可能性があります, 笠谷攻撃に似ています, プラットフォームがMSPによって利用されている場合 (マネージドサービスプロバイダー).
CVE-2020-7387とCVE-2020-7388の連鎖
「CVE-2020-7387とCVE-2020-7388を組み合わせる場合, 攻撃者は最初に影響を受けるソフトウェアのインストールパスを知ることができます, 次に、その情報を使用して、SYSTEMコンテキストで実行するコマンドをホストシステムに渡します。. これにより、攻撃者は任意のオペレーティングシステムコマンドを実行して、管理者レベルのユーザーを作成できます。, 悪意のあるソフトウェアをインストールする, それ以外の場合は、目的を問わずシステムを完全に制御します,」レポートは言った.
脆弱性の軽減
Sage X3のエンタープライズユーザーは、Sageインフラストラクチャを更新する必要があります. SageX3バージョンの最新のオンプレミスバージョン 9, バージョン 11, およびバージョン 12 欠陥を修正する. でも, 現時点で欠陥を適用できない場合, お客様は、次の緩和策を試す必要があります, に従って 元のレポート:
- CVE-2020-7388およびCVE-2020-7387の場合, SageX3を実行しているホストのAdxDSrv.exeTCPポートをインターネットやその他の信頼できないネットワークに公開しないでください. さらなる予防策として, 本番環境では、adxadminサービスを完全に停止する必要があります.
- CVE-2020-7389の場合, 一般的に言えば, ユーザーは、このWebアプリケーションインターフェイスをインターネットやその他の信頼できないネットワークに公開しないでください. さらに, Sage X3のユーザーは、開発機能が実稼働環境で使用できないことを確認する必要があります. これを確実にするための詳細については, ベンダーのベストプラクティスドキュメントを参照してください.
- ビジネスクリティカルな機能のためにネットワークセグメンテーションが不便な場合, Sage X3をホストするマシンのシステム管理を信頼しているユーザーのみに、Webアプリケーションへのログインアクセスを許可する必要があります。.