Vier in der ERP-Software Sage X3 gefundene Schwachstellen könnten es Bedrohungsakteuren ermöglichen, Befehle nach Belieben auszuführen

  • Ein Blick auf den Eingang zu den Rapid7-Büros. Das Forschungsunternehmen fand Schwachstellen in der ERP-Software von Sage X, die in den letzten Versionen gepatcht wurden. (Rapid7)

    Forscher berichteten Anfang dieser Woche, dass sie vier Schwachstellen in der Sage X3 Enterprise, Resource and Planning (ERP) Supply Chain Software identifiziert hatten, die, wenn sie nicht gepatcht wurden, es Bedrohungsakteuren ermöglicht hätten, das System zu übernehmen und Befehle auszuführen.

    In einem Blog-Beitrag sagten die Rapid7-Forscher, dass die Schwachstellen gemäß dem Rapid7-Verfahren zur Offenlegung von Schwachstellen behoben wurden und in den letzten Versionen von Sage X3 Version 9 gepatcht wurden.

    Unternehmen setzen auf Sage X3 als ERP-System, das vor allem für das Supply Chain Management in mittleren bis großen Unternehmen eingesetzt wird. Das Produkt ist in Großbritannien und anderen europäischen Märkten recht populär geworden.

    Sicherheitsforscher fanden den Fall besorgniserregend, weil die von Rapid7 entdeckte Schwachstelle mit einem Authentifizierungs-Bypass verbunden ist, der in jedem Kontext ernst zu nehmen ist, aber die Tatsache, dass die Anwendung von Haus aus Befehle ausführen kann, macht sie zu einer wirklich ernsten Schwachstelle für diejenigen, die die Software installiert haben, sagte AJ King, CISO bei BreachQuest.

    King erklärte, dass die Software von Haus aus Befehle ausführen kann, so dass jede Umgehung der Authentifizierung dem nicht authentifizierten Bedrohungsakteur sofort die Möglichkeit bietet, Befehle auszuführen.

    “Bei einer typischen Authentifizierungsumgehung würde der Bedrohungsakteur nicht automatisch die Fähigkeit erlangen, Programme auszuführen”, sagte King. “Die Rapid7-Forscher entdeckten auch, dass die Anwendung mit einem eigenen Verschlüsselungsprotokoll kommuniziert. Dies ist eine solche Abweichung von den Best Practices, dass Sicherheitsexperten oft sagen: ‘Freunde lassen Freunde nicht ihre eigene Krypto verwenden.’ Diese Art von Verhalten hat in Unternehmenssoftware nichts zu suchen.”

    Einige Teile dieses Artikels stammen aus:
    www.scmagazine.com