Quatre failles de sécurité ont été découvertes dans le Sauge X3 produit de planification des ressources d’entreprise (ERP), dont deux pourraient être enchaînés dans le cadre d’une séquence d’attaque pour permettre aux adversaires d’exécuter des commandes malveillantes et de prendre le contrôle des systèmes vulnérables.

Ces problèmes ont été découverts par des chercheurs de Rapid7, qui ont informé Sage Group de leurs découvertes le 3 février 2021. Le fournisseur a depuis déployé correctifs dans les versions récentes de Sage X3 Version 9 (Syracuse 9.22.7.2), Sage X3 HR & Payroll Version 9 (Syracuse 9.24.1.3), Sage X3 Version 11 (Syracuse 11.25.2.6) et Sage X3 Version 12 (Syracuse 12.10.2.8) ) qui ont été expédiés en mars.

La liste des vulnérabilités est la suivante –

• CVE-2020-7388 (score CVSS : 10,0) – Exécution de commandes à distance non authentifiées (RCE) Sage X3 en tant que SYSTÈME dans le composant AdxDSrv.exe
• CVE-2020-7389 (score CVSS » 5.5) – Système « CHAINE » Injection de commande de script variable (Aucun correctif prévu)
• CVE-2020-7387 (score CVSS : 5,3) – Divulgation du chemin d’installation de Sage X3
• CVE-2020-7390 (score CVSS : 4,6) – Vulnérabilité XSS stockée sur la page « Modifier » du profil utilisateur

« En combinant CVE-2020-7387 et CVE-2020-7388, un attaquant peut d’abord apprendre le chemin d’installation du logiciel affecté, puis utiliser ces informations pour transmettre des commandes au système hôte à exécuter dans le contexte SYSTEM », les chercheurs mentionné. « Cela peut permettre à un attaquant d’exécuter des commandes arbitraires du système d’exploitation pour créer des utilisateurs de niveau administrateur, installer des logiciels malveillants et prendre le contrôle complet du système à quelque fin que ce soit. »

Le plus grave des problèmes est CVE-2020-7388, qui tire parti d’un service administratif accessible sur Internet pour créer des requêtes malveillantes dans le but d’exécuter des commandes arbitraires sur le serveur en tant qu’utilisateur « NT AUTHORITY/SYSTEM ». Le service en question est utilisé pour la gestion à distance de la solution Sage ERP via la console Sage X3.

Séparément, la page « Modifier » associée aux profils d’utilisateurs dans le composant de serveur Web Sage X3 Syracuse est vulnérable à un XSS stocké attaque (CVE-2020-7390), permettant l’exécution de code JavaScript arbitraire pendant ‘mouseOver‘ dans les champs ‘Prénom’, ‘Nom’ et ‘E-mail’.

« En cas de succès, cependant, cette vulnérabilité pourrait permettre à un utilisateur régulier de Sage X3 d’exécuter des fonctions privilégiées en tant qu’administrateur actuellement connecté ou de capturer des cookies de session d’administrateur pour une usurpation d’identité ultérieure en tant qu’administrateur actuellement connecté », ont déclaré les chercheurs.

L’exploitation réussie de CVE-2020-7387, d’autre part, entraîne l’exposition des chemins d’installation de Sage X3 à un utilisateur non autorisé, tandis que CVE-2020-7389 concerne une authentification manquante dans les environnements de développement Syracuse qui pourrait être utilisée pour obtenir l’exécution de code. par injection de commande.

« D’une manière générale, les installations de Sage X3 ne devraient pas être exposées directement à Internet, mais devraient plutôt être mises à disposition via une connexion VPN sécurisée si nécessaire », ont noté les chercheurs dans la divulgation. « Suivre ces conseils opérationnels atténue efficacement les quatre vulnérabilités, bien que les clients soient toujours invités à mettre à jour selon leurs calendriers de cycle de correctifs habituels. »