Beveiligingsonderzoekers hebben zojuist vier kwetsbaarheden in het Sage X3 ERP-platform onthuld (ondernemingsresourceplanning). Een van de gebreken is van cruciaal belang, met een score van 10 uit 10 op de schaal CVSS. Bovendien, twee van hen kunnen aan elkaar worden geketend, waardoor volledige systeemovernames en gevolgen voor de toeleveringsketen mogelijk zijn, aldus de onderzoekers.
Vier kwetsbaarheden in het Sage X3 ERP-platform
Volgens het Rapid7-beveiligingsrapport, de kwetsbaarheden werden geïdentificeerd door verschillende onderzoekers van het bedrijf, waaronder Jonathan Peterson, Aaron Herndon, Cale Zwart, Ryan Villarreal, en Willian Vu. De problemen zijn gemeld aan Sage via Rapid7's proces voor het vrijgeven van kwetsbaarheden, en werden snel aangepakt in recente releases voor "Sage X3-versie" 9 (die componenten die bij Syracuse worden geleverd 9.22.7.2), Salie X3 HR & Salarisversie 9 (die componenten die bij Syracuse worden geleverd 9.24.1.3), Sage X3-versie 11 (Syracuse v11.25.2.6), en Sage X3-versie 12 (Syracuse v12.10.2.8). Aantekening, er was geen in de handel verkrijgbare versie 10 van Sage X3.”
De vier kwetsbaarheden hebben de volgende identifiers::
- CVE-2020-7387: Sage X3 Installatie Padnaam Openbaarmaking;
- CVE-2020-7388: Sage X3 Niet-geverifieerde uitvoering van opdrachten op afstand (RCE) als SYSTEEM in AdxDSrv.exe component;
- CVE-2020-7389: Systeem CHAINE variabele scriptopdracht injectie;
- CVE-2020-7390: Opgeslagen XSS-kwetsbaarheid op de pagina 'Bewerken' van gebruikersprofiel;
De ernstigste van de kwetsbaarheden bevindt zich in de externe beheerdersfunctie van het platform. De bug zou de mogelijkheid kunnen creëren voor een supply chain-aanval, vergelijkbaar met de Kaseya-aanval, in het geval dat het platform wordt gebruikt door MSP's (managed service providers).
CVE-2020-7387 en CVE-2020-7388 koppelen
“Bij het combineren van CVE-2020-7387 en CVE-2020-7388, een aanvaller kan eerst het installatiepad van de getroffen software leren, gebruik die informatie vervolgens om opdrachten door te geven aan het hostsysteem om te worden uitgevoerd in de SYSTEEM-context. Hierdoor kan een aanvaller willekeurige commando's van het besturingssysteem uitvoeren om gebruikers op beheerdersniveau te maken, schadelijke software installeren, en anders de volledige controle over het systeem overnemen voor welk doel dan ook,”Aldus het rapport.
De kwetsbaarheden verminderen
Enterprise-gebruikers van Sage X3 moeten hun Sage-infrastructuur bijwerken. De meest recente on-premises versies van Sage X3-versie 9, Versie 11, en versie 12 herstel de gebreken. Echter, in het geval dat de gebreken op dit moment niet kunnen worden toegepast, klanten moeten de volgende beperkende trucs proberen:, vanaf het oorspronkelijke rapport:
- Voor CVE-2020-7388 en CVE-2020-7387, stel de AdxDSrv.exe TCP-poort op geen enkele host met Sage X3 bloot aan internet of andere niet-vertrouwde netwerken. Als een verdere preventieve maatregel, de adxadmin-service moet volledig worden gestopt terwijl deze in productie is.
- Voor CVE-2020-7389, in het algemeen, gebruikers mogen deze webapp-interface niet blootstellen aan internet of andere niet-vertrouwde netwerken. Bovendien, gebruikers van Sage X3 moeten ervoor zorgen dat ontwikkelfunctionaliteit niet beschikbaar is in productieomgevingen. Voor meer informatie over het waarborgen hiervan, raadpleeg de best practices-documentatie van de leverancier.
- In het geval dat netwerksegmentatie onhandig is vanwege bedrijfskritische functies, alleen gebruikers die vertrouwd zijn met het systeembeheer van de machines waarop Sage X3 wordt gehost, mogen inlogtoegang tot de webtoepassing krijgen.