ERP 平台Sage X3被曝多个严重漏洞,系统可遭接管,存在潜在供应链风险
编译:奇安信代码卫士
数字化时代,软件无处不在。软件如同社会中的“虚拟人”,已经成为支撑社会正常运转的最基本元素之一,软件的安全性问题也正在成为当今社会的根本性、基础性问题。
随着软件产业的快速发展,软件供应链也越发复杂多元,复杂的软件供应链会引入一系列的安全问题,导致信息系统的整体安全防护难度越来越大。近年来,针对软件供应链的安全攻击事件一直呈快速增长态势,造成的危害也越来越严重。
为此,我们推出“供应链安全”栏目。本栏目汇聚供应链安全资讯,分析供应链安全风险,提供缓解建议,为供应链安全保驾护航。
注:以往发布的部分供应链安全相关内容,请见文末“推荐阅读”部分。
Sage X3 企业资源规划 (ERP) 产品中被曝存在4个漏洞。攻击者可组合利用其中的两个漏洞执行恶意命令并控制易受攻击系统。
Rapid7 公司的研究人员发现了这些漏洞并在2021年2月3日告知 Sage 集团。Sage 集团在3月发布版本 Sage X3 Version 9(Syracuse 9.22.7.2)、Sage X3 HR & Payroll Version 9 (Syracuse 9.24.1.3)、Sage X3 Version 11 (Syracuse 11.25.2.6) 和 Sage X3 Version 12 (Syracuse 12.10.2.8) 修复了这些漏洞。
这四个漏洞是:
CVE-2020-7388(CVSS评分满分10分):AdxDSrv.exe 组件中以系统权限执行未认证远程代码
CVE-2020-7389(CVSS评分5.5):系统 “CHAINE” 变量脚本命令注入(无修复计划)
CVE-2020-7387(CVSS 评分5.3):Sage X3安装路径名称披露漏洞
CVE-2020-7390(CVSS评分4.6):用户资料“编辑”页面的存储型 XSS 漏洞
研究人员指出,“结合利用CVE-2020-7387和CVE-2020-7388,攻击者首先可获悉受影响软件的安装路径,之后利用该信息将命令传递给主机系统,在系统上下文中运行。这可导致攻击者运行任意操作系统命令以创建管理员级别用户、安装恶意软件并完全控制系统。”
其中最为严重的漏洞是 CVE-2020-7388,它利用可从互联网访问的管理员服务优势构造恶意请求,以 “NT AUTHORITY/SYSTEM” 用户身份运行任意命令。该 Sage X3 ERP 服务用于通过 Sage X3 控制台来远程管理 Sage ERP 系统。
和Sage X3 Syracuse web 服务器组件中用户资料相关联的“编辑”页面易受存储型 XSS 攻击 (CVE-2020-7390),在“First name”、“Last name” 和 “Email” 字段的”鼠标悬停“事件期间可导致任意 JavaScript 代码执行后果。
研究人员表示,“如攻击成功,可导致 Sage X3 的普通用户以当前已登录管理员执行权限功能或者抓取管理员会话 cookie,以便在后续以当前已登录用户身份执行模拟操作。“
如 CVE-2020-7387 遭成功利用,则可导致 Sage X3 安装路径被暴露给越权用户,而 CVE-2020-7389 和 Syracuse 开发环境缺少认证机制有关,可被用于通过命令注入的方式获得代码执行权利。
研究人员指出,“总体而言,Sage X3 安装程序不应被直接暴露到互联网上,而应当在必要时通过安全的 VPN 连接提供。按照这一运营建议可有效缓解所有的这四个漏洞,尽管如此,仍然建议客户根据平常的补丁周期安排更新版本。“
美国土安全局警告称针对 ERP 系统的攻击一触即发
探讨:软件厂商Kaseya事件是不是软件供应链攻击?
https://thehackernews.com/2021/07/critical-flaws-reported-in-sage-x3.html
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的
产品线。