Cacat Kritis Dilaporkan dalam Perangkat Lunak Manajemen Perusahaan Sage X3

Manajemen Perusahaan Sage X3

Empat kerentanan keamanan telah ditemukan di Bijak X3 produk perencanaan sumber daya perusahaan (ERP), dua di antaranya dapat dirantai bersama sebagai bagian dari urutan serangan untuk memungkinkan musuh menjalankan perintah jahat dan mengendalikan sistem yang rentan.

Masalah ini ditemukan oleh para peneliti dari Rapid7, yang memberi tahu Sage Group tentang temuan mereka pada 3 Februari 2021. Sejak saat itu, vendor telah meluncurkan perbaikan dalam rilis terbaru untuk Sage X3 Versi 9 (Syracuse 9.22.7.2), Sage X3 HR & Penggajian Versi 9 (Syracuse 9.24.1.3), Sage X3 Versi 11 (Syracuse 11.25.2.6), dan Sage X3 Versi 12 (Syracuse 12.10.2.8 ) yang dikirim pada bulan Maret.

Bacaan Lainnya

Daftar kerentanan adalah sebagai berikut –

  • CVE-2020-7388 (Skor CVSS: 10.0) – Sage X3 Unauthenticated Remote Command Execution (RCE) sebagai SISTEM dalam komponen AdxDSrv.exe
  • CVE-2020-7389 (Skor CVSS” 5.5) – Sistem Injeksi Perintah Skrip Variabel “RANTAI” (Tidak ada perbaikan yang direncanakan)
  • CVE-2020-7387 (Skor CVSS: 5.3) – Pengungkapan Nama Jalur Instalasi Sage X3
  • CVE-2020-7390 (Skor CVSS: 4.6) – Kerentanan XSS Tersimpan di Halaman ‘Edit’ Profil Pengguna

“Saat menggabungkan CVE-2020-7387 dan CVE-2020-7388, penyerang pertama-tama dapat mempelajari jalur penginstalan perangkat lunak yang terpengaruh, kemudian menggunakan informasi itu untuk meneruskan perintah ke sistem host untuk dijalankan dalam konteks SISTEM,” para peneliti berkata. “Ini dapat memungkinkan penyerang untuk menjalankan perintah sistem operasi sewenang-wenang untuk membuat pengguna tingkat Administrator, menginstal perangkat lunak berbahaya, dan sebaliknya mengambil kendali penuh dari sistem untuk tujuan apa pun.”

Masalah yang paling parah adalah CVE-2020-7388, yang memanfaatkan layanan administratif yang dapat diakses melalui internet untuk membuat permintaan jahat dengan tujuan menjalankan perintah arbitrer di server sebagai pengguna “NT AUTHORITY/SYSTEM”. Layanan yang dimaksud digunakan untuk manajemen jarak jauh dari solusi Sage ERP melalui Konsol Sage X3.

Secara terpisah, halaman ‘Edit’ yang terkait dengan profil pengguna di komponen server web Sage X3 Syracuse rentan terhadap disimpan XSS attack (CVE-2020-7390), mengaktifkan eksekusi kode JavaScript arbitrer selama ‘mouseOver‘ di bidang ‘Nama depan’, ‘Nama belakang’, dan ‘Email’.

“Namun, jika berhasil, kerentanan ini dapat memungkinkan pengguna biasa Sage X3 untuk menjalankan fungsi istimewa sebagai administrator yang saat ini masuk atau menangkap cookie sesi administrator untuk peniruan nanti sebagai administrator yang saat ini masuk,” kata para peneliti.

Eksploitasi CVE-2020-7387 yang berhasil, di sisi lain, menghasilkan paparan jalur instalasi Sage X3 ke pengguna yang tidak sah, sementara CVE-2020-7389 menyangkut otentikasi yang hilang di lingkungan pengembangan Syracuse yang dapat digunakan untuk mendapatkan eksekusi kode melalui injeksi perintah.

“Secara umum, instalasi Sage X3 tidak boleh terpapar langsung ke internet, dan sebaliknya harus tersedia melalui koneksi VPN yang aman jika diperlukan,” catat para peneliti dalam pengungkapan tersebut. “Mengikuti saran operasional ini secara efektif mengurangi keempat kerentanan, meskipun pelanggan masih didesak untuk memperbarui sesuai dengan jadwal siklus tambalan mereka yang biasa.”

'+n+'...
'+a+"...
"}s+="",document.getElementById("result").innerHTML=s}}),t=!0)})}); //]]>

Pos terkait