Os pesquisadores de segurança acabam de revelar quatro vulnerabilidades na plataforma Sage X3 ERP (Planejamento de Recursos Empresariais). Uma das falhas é crítica, com uma pontuação de 10 fora de 10 na escala CVSS. além disso, dois deles poderiam ser acorrentados juntos, permitindo aquisições completas do sistema e ramificações da cadeia de suprimentos, os pesquisadores disseram.
Quatro vulnerabilidades na plataforma Sage X3 ERP
De acordo com o relatório de segurança Rapid7, as vulnerabilidades foram identificadas por vários pesquisadores da empresa, incluindo Jonathan Peterson, Aaron Herndon, Cale Black, Ryan Villarreal, e Willian Vu. Os problemas foram relatados ao Sage por meio do processo de divulgação de vulnerabilidade do Rapid7, e foram rapidamente abordados em lançamentos recentes para “Sage X3 Version 9 (os componentes que vêm com Syracuse 9.22.7.2), Sage X3 HR & Versão da folha de pagamento 9 (os componentes que vêm com Syracuse 9.24.1.3), Versão Sage X3 11 (Syracuse v11.25.2.6), e versão Sage X3 12 (Syracuse v12.10.2.8). Nota, não havia versão comercialmente disponível 10 do Sage X3. ”
As quatro vulnerabilidades têm os seguintes identificadores:
- CVE-2020-7387: Divulgação do nome do caminho de instalação do Sage X3;
- CVE-2020-7388: Execução de comando remoto não autenticado do Sage X3 (RCE) como SYSTEM no componente AdxDSrv.exe;
- CVE-2020-7389: Injeção de comando de script de variável CHAINE do sistema;
- CVE-2020-7390: Vulnerabilidade de XSS armazenada na página "Editar" do perfil do usuário;
A vulnerabilidade mais grave está localizada na função de administrador remoto da plataforma. O bug pode criar a possibilidade de um ataque à cadeia de abastecimento, semelhante ao ataque Kaseya, caso a plataforma seja utilizada por MSPs (provedores de serviços gerenciados).
Encadeando CVE-2020-7387 e CVE-2020-7388
“Ao combinar CVE-2020-7387 e CVE-2020-7388, um invasor pode primeiro aprender o caminho de instalação do software afetado, em seguida, use essas informações para passar comandos para o sistema host para serem executados no contexto do SISTEMA. Isso pode permitir que um invasor execute comandos arbitrários do sistema operacional para criar usuários de nível de administrador, instalar software malicioso, e de outra forma assumir o controle total do sistema para qualquer propósito,”Disse o relatório.
Mitigando as vulnerabilidades
Os usuários corporativos do Sage X3 devem atualizar sua infraestrutura Sage. As versões locais mais recentes da versão Sage X3 9, Versão 11, e versão 12 consertar as falhas. Contudo, caso as falhas não possam ser aplicadas neste momento, os clientes devem tentar os seguintes truques de mitigação, conforme o relatório original:
- Para CVE-2020-7388 e CVE-2020-7387, não exponha a porta TCP AdxDSrv.exe em nenhum host executando o Sage X3 para a Internet ou outras redes não confiáveis. Como outra medida preventiva, o serviço adxadmin deve ser interrompido inteiramente durante a produção.
- Para CVE-2020-7389, de um modo geral, os usuários não devem expor esta interface de webapp à Internet ou outras redes não confiáveis. além disso, os usuários do Sage X3 devem garantir que a funcionalidade de desenvolvimento não esteja disponível em ambientes de produção. Para obter mais informações sobre como garantir isso, consulte a documentação de práticas recomendadas do fornecedor.
- No caso de a segmentação da rede ser inconveniente devido a funções críticas de negócios, apenas usuários confiáveis com a administração do sistema das máquinas que hospedam o Sage X3 devem ter acesso de login ao aplicativo da web.