《電子技術(shù)應(yīng)用》
您所在的位置:首頁(yè) > 通信與網(wǎng)絡(luò) > 業(yè)界動(dòng)態(tài) > 賽捷公司ERP軟件Sage X3曝出高危漏洞,,制造業(yè)可能受影響

賽捷公司ERP軟件Sage X3曝出高危漏洞,,制造業(yè)可能受影響

2021-07-10
來(lái)源:網(wǎng)空閑話
關(guān)鍵詞: SageX3 安全漏洞 惡意命令

Sage X3 企業(yè)資源規(guī)劃 (ERP) 產(chǎn)品中發(fā)現(xiàn)了四個(gè)安全漏洞,,其中兩個(gè)可以作為攻擊序列的關(guān)鍵部分鏈接在一起,使攻擊者能夠執(zhí)行惡意命令并控制易受攻擊的系統(tǒng),。

微信圖片_20210710165647.jpg

  Sage X3簡(jiǎn)介

  賽捷集團(tuán)(Sage)是全球第三大管理軟件及解決方案專(zhuān)業(yè)提供商,并在倫敦股票交易所上市(股票代碼SGE),,公司目前在全球擁有超過(guò)700萬(wàn)家企業(yè)用,,在全球擁有超過(guò)13400名員工,擁有超過(guò)3萬(wàn)家專(zhuān)注于各行業(yè)解決方案的合作伙伴,,擁有超過(guò)700萬(wàn)家企業(yè)用戶(hù),。賽捷集團(tuán)2013財(cái)年銷(xiāo)售收入達(dá)到21.7億美金,是專(zhuān)為成長(zhǎng)型企業(yè)提供全線管理軟件解決方案以及相關(guān)產(chǎn)品和服務(wù)的國(guó)際領(lǐng)先供應(yīng)商,。

  在中國(guó),,賽捷軟件超過(guò)19年的歷史,致力于以世界級(jí)的優(yōu)秀軟件方案幫助中國(guó)成長(zhǎng)型企業(yè)開(kāi)展先進(jìn)企業(yè)管理,,超過(guò)2,000家企業(yè)用戶(hù)在運(yùn)行賽捷的管理軟件,,賽捷精細(xì)化的管理解決方案覆蓋了ERP、CRM,、HCM,、BI、企業(yè)社交,、項(xiàng)目管理等功能,,并且針對(duì)行業(yè)特殊需求提供行業(yè)解決方案。同時(shí)在移動(dòng)互聯(lián),、大數(shù)據(jù),、物聯(lián)網(wǎng)的發(fā)展趨勢(shì)下,重磅推出移動(dòng)互聯(lián)系列解決方案,,結(jié)合新?tīng)I(yíng)銷(xiāo)的特性,,為企業(yè)提供更多元化的服務(wù),致力成為推動(dòng)新領(lǐng)域發(fā)展的智慧企業(yè),。賽捷軟件(上海)有限公司是賽捷集團(tuán)在中國(guó)的代理商,,在北京、杭州,、廣州設(shè)有分支機(jī)構(gòu),,為賽捷集團(tuán)拓展在華業(yè)務(wù),。

  Sage ERP X3是企業(yè)首選的企業(yè)級(jí)整體管理解決方案,是為企業(yè)量身定做的全面管理應(yīng)用系統(tǒng),。它是一套涵蓋生產(chǎn),、分銷(xiāo)、客戶(hù)關(guān)系管理,、財(cái)務(wù)及商業(yè)智能分析在內(nèi)的完全集成的應(yīng)用軟件系統(tǒng),。Sage ERP X3既可以作為公司業(yè)務(wù)綜合管理系統(tǒng),也可以按模塊運(yùn)用于特殊的業(yè)務(wù)流程或分階段實(shí)施,。Sage ERP X3支持包括中文簡(jiǎn)體和繁體在內(nèi)的多種語(yǔ)言,,同時(shí)支持多種貨幣之間的處理,系統(tǒng)的本地化版本保證與當(dāng)?shù)氐恼叻ㄒ?guī)的一致性(比如稅法和政府報(bào)告等),,不僅遵循各種國(guó)際會(huì)計(jì)標(biāo)準(zhǔn)和程序,,也適用于中國(guó)特殊的會(huì)計(jì)制度。該產(chǎn)品基于最新的SOA架構(gòu),,支持B/S和C/S運(yùn)行方式,,支持多個(gè)網(wǎng)點(diǎn)運(yùn)營(yíng),支持所有的通用數(shù)據(jù)庫(kù)(比如MS-SQL,、Oracle等),。Sage ERP X3廣泛應(yīng)用于制造行業(yè)、分銷(xiāo)業(yè)和服務(wù)業(yè),。

  漏洞概述

  這些問(wèn)題是由 Rapid7 的研究人員發(fā)現(xiàn)的,,他們于 2021 年 2 月 3 日將他們的發(fā)現(xiàn)通知了 Sage Group。此后,,該供應(yīng)商在 Sage X3 第 9 版(Syracuse 9.22.7.2),、Sage X3 HR & Payroll 的最新版本中推出了修復(fù)程序3 月份發(fā)布的版本 9(Syracuse 9.24.1.3)、Sage X3 版本 11(Syracuse 11.25.2.6)和 Sage X3 版本 12(Syracuse 12.10.2.8),。

  漏洞如下:

  CVE-2020-7388(CVSS分?jǐn)?shù):10.0)- Sage X3 未經(jīng)身份驗(yàn)證的遠(yuǎn)程命令執(zhí)行 (RCE) 漏洞,;

  CVE-2020-7389(CVSS評(píng)分“5.5)-系統(tǒng)”CHAINE“變量腳本命令注入(未計(jì)劃修復(fù));

  CVE-2020-7387(CVSS評(píng)分:5.3)——Sage X3 安裝路徑名泄露,;

  CVE-2020-7390(CVSS分?jǐn)?shù):4.6)- 存儲(chǔ)在用戶(hù)配置文件”編輯“頁(yè)面上的 XSS 漏洞,;

  這批漏洞是由Rapid7的研究人員Jonathan Peterson (@deadjakk)、Aaron Herndon (@ac3lives),、Cale Black,、Ryan Villarreal (@XjCrazy09)和William Vu發(fā)現(xiàn)的。它們是根據(jù)Rapid7的漏洞披露政策進(jìn)行披露的,。Cobalt Labs的Vivek Srivastav于2021年1月向供應(yīng)商報(bào)告了CVE-2020-7390,。

  主要影響

  “當(dāng)CVE-2020-7387 和 CVE-2020-7388 結(jié)合利用時(shí),攻擊者可以首先了解受影響軟件的安裝路徑,,然后使用該信息將命令傳遞給主機(jī)系統(tǒng)以SYSTEM權(quán)限上下文中運(yùn)行,,”研究人員說(shuō),。“這可能允許攻擊者運(yùn)行任意操作系統(tǒng)命令來(lái)創(chuàng)建管理員級(jí)別用戶(hù),、安裝惡意軟件,,以及出于任何目的對(duì)系統(tǒng)的完全控制?!?/p>

微信圖片_20210710165605.jpg

  最嚴(yán)重的問(wèn)題是 CVE-2020-7388,,它利用可通過(guò)Internet訪問(wèn)的管理服務(wù)來(lái)制作惡意請(qǐng)求,,目的是作為“NT AUTHORITY/SYSTEM”用戶(hù)在服務(wù)器上運(yùn)行任意命令,。該服務(wù)用于通過(guò)Sage X3控制臺(tái)遠(yuǎn)程管理 Sage ERP 解決方案。

  另外,,與Sage X3 Syracuse web服務(wù)器組件中的用戶(hù)配置文件相關(guān)聯(lián)的“編輯”頁(yè)面容易受到存儲(chǔ)XSS攻擊(CVE-2020-7390),,使在“mouseOver”事件期間在“First Name”、“Last Name”和“Emails”字段中執(zhí)行任意JavaScript代碼,。

  “然而,,如果成功,這個(gè)漏洞可能允許 Sage X3 的普通用戶(hù)以當(dāng)前登錄的管理員身份執(zhí)行特權(quán)功能或捕獲管理員會(huì)話cookie,,以便以后冒充當(dāng)前登錄的管理員,,”研究人員說(shuō)。

  另一方面,,成功利用CVE-2020-7387會(huì)導(dǎo)致Sage X3安裝路徑暴露給未經(jīng)授權(quán)的用戶(hù),,而CVE-2020-7389則涉及Syracuse開(kāi)發(fā)環(huán)境中缺失的身份驗(yàn)證,該身份驗(yàn)證可用于通過(guò)命令注入獲得代碼執(zhí)行,。

  研究人員在漏洞披露中指出:“一般來(lái)說(shuō),,Sage X3安裝不應(yīng)直接暴露在互聯(lián)網(wǎng)上,而應(yīng)在需要時(shí)通過(guò)安全的 VPN 連接提供,?!薄白裱@一操作建議有效地緩解了所有四個(gè)漏洞的利用可能,但仍敦促客戶(hù)根據(jù)他們通常的補(bǔ)丁周期時(shí)間表進(jìn)行更新,?!?/p>

  緩解措施

  Sage X3版本9、版本11和版本12的最新本地版本解決了這些問(wèn)題,,并且敦促Sage X3的用戶(hù)盡早更新他們的Sage基礎(chǔ)設(shè)施,。如果更新不能立即應(yīng)用,客戶(hù)應(yīng)考慮以下補(bǔ)救措施:

  對(duì)于CVE-2020-7388和CVE-2020-7387,,不要將任何運(yùn)行Sage X3的主機(jī)上的AdxDSrv.exe TCP端口暴露到internet或其他不受信任的網(wǎng)絡(luò),。作為進(jìn)一步的預(yù)防措施,adxadmin服務(wù)應(yīng)該在生產(chǎn)過(guò)程中完全停止,。

  對(duì)于CVE-2020-7389,,一般來(lái)說(shuō),,用戶(hù)不應(yīng)該將此web應(yīng)用程序接口暴露給互聯(lián)網(wǎng)或其他不可信的網(wǎng)絡(luò)。此外,,Sage X3的用戶(hù)應(yīng)該確保開(kāi)發(fā)功能在生產(chǎn)環(huán)境中不可用,。有關(guān)確保這一點(diǎn)的更多信息,請(qǐng)參考供應(yīng)商的最佳實(shí)踐文檔,。

  在由于業(yè)務(wù)關(guān)鍵功能而導(dǎo)致網(wǎng)絡(luò)隔離不到位的情況下,,只有受托管Sage X3的機(jī)器的系統(tǒng)管理信任的用戶(hù)才應(yīng)該被授予登錄訪問(wèn)web應(yīng)用程序的權(quán)限。




電子技術(shù)圖片.png

本站內(nèi)容除特別聲明的原創(chuàng)文章之外,,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,,并不代表本網(wǎng)站贊同其觀點(diǎn)。轉(zhuǎn)載的所有的文章,、圖片,、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無(wú)法一一聯(lián)系確認(rèn)版權(quán)者,。如涉及作品內(nèi)容,、版權(quán)和其它問(wèn)題,請(qǐng)及時(shí)通過(guò)電子郵件或電話通知我們,,以便迅速采取適當(dāng)措施,,避免給雙方造成不必要的經(jīng)濟(jì)損失。聯(lián)系電話:010-82306118,;郵箱:[email protected],。