Kritische Schwachstellen in Sage X3 Enterprise Management Software gemeldet

  • In Sage X3 Enterprise Resource Planning (ERP) wurden vier Sicherheitslücken entdeckt, von denen zwei als Teil einer Angriffssequenz miteinander verkettet werden könnten, um Angreifern die Ausführung bösartiger Befehle und die Übernahme der Kontrolle über anfällige Systeme zu ermöglichen.

    Diese Probleme wurden von Forschern von Rapid7 entdeckt, die die Sage Group am 3. Februar 2021 über ihre Erkenntnisse informierten. Der Hersteller hat seitdem Korrekturen in den jüngsten Versionen für Sage X3 Version 9 (Syracuse 9.22.7.2), Sage X3 HR & Payroll Version 9 (Syracuse 9.24.1.3), Sage X3 Version 11 (Syracuse 11.25.2.6) und Sage X3 Version 12 (Syracuse 12.10.2.8), die im März ausgeliefert wurden, ausgerollt.

    [Blocked Image: https://thehackernews.com/images/-OoudkWOwaI4/YMt1nG7ZqHI/AAAAAAAA4Qo/zhvoTujBMzIboAsA28Ekt3IPPv7HQZb4ACLcBGAsYHQ/s728-e100/free-ad-7-728.png]

    Die Liste der Schwachstellen ist wie folgt –

    • CVE-2020-7388 (CVSS-Score: 10.0) – Sage X3 Unauthenticated Remote Command Execution (RCE) als SYSTEM in der Komponente AdxDSrv.exe
    • CVE-2020-7389 (CVSS-Score: 5.5) – System “CHAINE”-Variable Skript-Befehlsinjektion (kein Fix geplant)
    • CVE-2020-7387 (CVSS-Punktzahl: 5.3) – Offenlegung von Sage X3-Installationspfadnamen
    • CVE-2020-7390 (CVSS-Punktzahl: 4.6) – Gespeicherte XSS-Schwachstelle auf der Seite “Bearbeiten” des Benutzerprofils

    “Bei der Kombination von CVE-2020-7387 und CVE-2020-7388 kann ein Angreifer zunächst den Installationspfad der betroffenen Software in Erfahrung bringen und diese Informationen dann verwenden, um Befehle an das Host-System weiterzuleiten, die im SYSTEM-Kontext ausgeführt werden sollen”, so die Forscher. “Dies kann es einem Angreifer ermöglichen, beliebige Betriebssystembefehle auszuführen, um Benutzer auf Administrator-Ebene zu erstellen, bösartige Software zu installieren und anderweitig die vollständige Kontrolle über das System für beliebige Zwecke zu übernehmen.”

    [Blocked Image: https://thehackernews.com/images/-jQ30AM1BKTk/YObgpqqUBMI/AAAAAAAADIs/yUeM-dYpjsMVlO2etFKHLUeNqimy6uGrQCLcBGAsYHQ/s728-e1000/admin.jpg]

    Die schwerwiegendste der Schwachstellen ist CVE-2020-7388, die einen über das Internet zugänglichen Verwaltungsdienst ausnutzt, um bösartige Anfragen mit dem Ziel zu erstellen, beliebige Befehle auf dem Server als Benutzer “NT AUTHORITY/SYSTEM” auszuführen. Der betreffende Dienst wird für die Remote-Verwaltung der Sage ERP-Lösung über die Sage X3-Konsole verwendet.

    [Blocked Image: https://thehackernews.com/images/-OSV4PB8Gs_s/YLy9M_8zkrI/AAAAAAAA4BE/n1p4_TGqv8w7u-Ha-YBjdamOZ8K2RHL_ACLcBGAsYHQ/s300-e100/privileged_300.jpg]

    Unabhängig davon ist die Seite “Bearbeiten”, die mit Benutzerprofilen in der Webserver-Komponente von Sage X3 Syracuse verbunden ist, anfällig für einen gespeicherten XSS-Angriff (CVE-2020-7390), der die Ausführung von beliebigem JavaScript-Code während “mouseOver”-Ereignissen in den Feldern “Vorname”, “Nachname” und “E-Mail” ermöglicht.

    “Im Erfolgsfall könnte diese Schwachstelle es einem normalen Benutzer von Sage X3 ermöglichen, privilegierte Funktionen als aktuell angemeldeter Administrator auszuführen oder Sitzungscookies des Administrators zu erfassen, um sich später als aktuell angemeldeter Administrator auszugeben”, so die Forscher.

    Die erfolgreiche Ausnutzung von CVE-2020-7387 führt hingegen dazu, dass die Installationspfade von Sage X3 für einen nicht autorisierten Benutzer offengelegt werden, während CVE-2020-7389 eine fehlende Authentifizierung in Syracuse-Entwicklungsumgebungen betrifft, die dazu genutzt werden könnte, Codeausführung über Befehlsinjektion zu erlangen.

    “Generell sollten Sage X3-Installationen nicht direkt dem Internet ausgesetzt werden, sondern bei Bedarf über eine sichere VPN-Verbindung zur Verfügung gestellt werden”, schreiben die Forscher in der Offenlegung. “Durch die Befolgung dieser operativen Ratschläge werden alle vier Schwachstellen effektiv entschärft, obwohl die Kunden immer noch dazu angehalten sind, gemäß ihrer üblichen Patch-Zyklen zu aktualisieren.”

    Fanden Sie diesen Artikel interessant? Folgen Sie THN auf Facebook, Twitter und LinkedIn, um weitere exklusive Inhalte zu lesen, die wir veröffentlichen.

    Einige Teile dieses Artikels stammen aus:
    thehackernews.com