Empat Kelemahan Kritis yang Diidentifikasi dalam Perangkat Lunak ERP Sage X3

  • Whatsapp
Empat Kelemahan Kritis yang Diidentifikasi dalam Perangkat Lunak ERP Sage X3

 

Bacaan Lainnya

Perusahaan cybersecurity Rapid7 mengumumkan pada hari Rabu bahwa mereka menemukan empat kelemahan keamanan dalam perangkat lunak rantai pasokan perangkat lunak, sumber daya, dan perencanaan (ERP) Sage X3 ERP yang jika dibiarkan tidak ditambal, dapat memungkinkan penyerang mengambil alih sistem dan menjalankan perintah.

Dua yang pertama adalah masalah terkait protokol yang melibatkan administrasi jarak jauh Sage X3, dan dua yang terakhir adalah kelemahan aplikasi web. Rapid7 merekomendasikan agar instalasi Sage X3 tidak terpapar langsung ke internet, dan sebaliknya harus tersedia melalui koneksi VPN yang aman jika diperlukan. Perusahaan menyatakan bahwa ini akan secara efektif mengurangi keempat kekurangan, tetapi pengguna perlu memperbarui sesuai dengan jadwal siklus tambalan reguler mereka.

Peneliti Rapid7 Jonathan Peterson, Aaron Herndon, Cale Black, Ryan Villarreal, dan William Vu, yang mengidentifikasi kekurangannya (CVE-2020-7387 hingga -7390), mengatakan bahwa kerentanan paling kritis ada pada fungsi administrator jarak jauh dari platform. Perusahaan mengandalkan Sage X3 sebagai sistem ERP yang terutama digunakan untuk manajemen rantai pasokan di perusahaan menengah hingga besar. Produk ini telah menjadi sangat populer di Inggris dan pasar Eropa lainnya.

Pakar keamanan siber menemukan kasus ini mengkhawatirkan karena kelemahan yang diidentifikasi oleh Rapid7 terkait dengan bypass otentikasi yang penting dalam konteks apa pun, tetapi fakta bahwa aplikasi dapat menjalankan perintah dengan desain membuatnya menjadi kerentanan yang benar-benar serius bagi mereka yang menginstal perangkat lunak, kata AJ Raja, CISO di BreachQuest.

King menjelaskan bahwa karena perangkat lunak dapat mengeksekusi perintah dengan desain, setiap bypass otentikasi segera menawarkan aktor ancaman yang tidak diautentikasi kemampuan untuk menjalankan perintah.

“Dalam bypass otentikasi yang khas, aktor ancaman tidak akan secara otomatis mendapatkan kemampuan untuk menjalankan program. Para peneliti Rapid7 juga menemukan bahwa aplikasi berkomunikasi menggunakan protokol enkripsi khusus. Ini adalah penyimpangan dari praktik terbaik sehingga profesional keamanan sering terdengar mengatakan ‘teman jangan biarkan teman memutar kripto mereka sendiri.’ Perilaku semacam ini tidak memiliki tempat di perangkat lunak perusahaan, ”kata King.

Menyusul serangan cyber baru-baru ini di Colonial Pipeline dan JBL, perusahaan harus ekstra waspada dengan perangkat lunak ERP mereka. Sage X3 umumnya digunakan dalam manajemen rantai pasokan untuk organisasi menengah dan besar dan dapat menjadi target untuk jenis penyerang khusus ini.

Pos terkait

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan. Ruas yang wajib ditandai *