当心数据被拦截!ERP平台Sage X3严重漏洞或将破坏关键业务流程 – 作者:中科天齐软件安全中心-安全小百科

当心数据被拦截!ERP平台Sage X3严重漏洞或将破坏关键业务流程 – 作者:中科天齐软件安全中心

ERP平台中的安全漏洞可能允许网络攻击者篡改或破坏受害者的关键业务流程并拦截数据。

研究人员发现，被广泛使用的Sage X3企业资源规划 (ERP) 平台有4个漏洞，其中一个严重漏洞在CVSS漏洞严重性等级上的评级为10分。其中两个漏洞可以链接在一起从而接管整个系统，并可能对供应链产生影响。

Sage X3目标使用者是中等规模的公司，尤其是制造商和分销商。该系统在一个集成的 ERP软件解决方案中管理销售、财务、库存、采购、客户关系管理和制造。

Rapid7研究人员发现了这些问题(CVE-2020-7387到-7390)，最严重的漏洞缺陷可执行平台的远程管理功能。因此，他们表示，如果托管服务提供商使用该平台向其他企业提供功能，那么成功的攻击(如Kaseya)可能会对供应链产生影响。当利用CVE-2020-7387和CVE-2020-7388时，攻击者可以通过了解一系列规则来运行任意操作系统命令创建管理员级别用户，并安装恶意软件或完全控制系统。

关键认证绕过安全漏洞

根据Rapid7说法，该严重错误(CVE-2020-7388) 允许未经身份验证的远程命令执行 (RCE)在AdxDSrv.exe组件中使用提升的权限。AdxAdmin是一个负责通过主控制台远程管理Sage X3的功能，一个漏洞可能允许攻击者以高权限的“NT AUTHORITY/SYSTEM”用户身份在服务器上执行命令。

该问题会影响平台的V9、V11和 V12版本。

Sage X3中的中等严重性错误

其他三个问题的严重程度为中等：

CVE-2020-7387：在 AdxAdmin中将敏感信息暴露给未经授权的参与者(CVSS等级 5.3，影响 V9、V11 和 V12 版本)

CVE-2020-7389：在 Syracuse 的开发人员环境中缺少对关键功能的身份验证(CVSS 评级为 5.5，影响V9、V11和V12版本)

CVE-2020-7390：Syracuse中的持久性跨站脚本 (XSS)(CVSS 评级为 4.6，仅影响 V12)。

CVE-2020-7390漏洞是一个存储型XSS漏洞。存储型XSS，也称为持久型XSS，当恶意脚本直接注入易受攻击的Web应用程序时就会发生。与反射型XSS不同，存储攻击只需要受害者访问受感染的网页。在这种情况下，问题存在于用户配置文件的“编辑”页面上，名字、姓氏和电子邮件字段容易受到存储的XSS序列的攻击。

诸如跨站脚本 (XSS)、注入漏洞等缺陷，在软件开发初期通过静态代码检测就可以第一时间发现，但企业在软件开发时，更多关注于产品是否能快速上线或功能能否实现，从而忽略了软件的安全问题。在网络安全尤其重要的今天，建议企业将安全认真纳入软件开发周期当中确保软件安全的同时，也能降低上线后修改缺陷的成本。

Sage ERP安全漏洞补丁信息

这三个符合条件的漏洞在Sage X3第9版(Syracuse 9.22.7.2 附带的组件)、Sage X3 HR & Payroll第9版(Syracuse 9.24.1.3 附带的组件)、Sage X3版本11(Syracuse v11.25.2.6) 和Sage X3版本12(Syracuse v12.10.2.8)。注意：Sage X3 没有市售的第10版。

数据存储应加强安全防御

Sage ERP作为一款数据管理平台，存在漏洞意味着使用者数据安全存在很大风险。近年来，网络犯罪分子通过盗取、加密或锁定企业数据进行巨额勒索的事件层出不穷，而数据作为其中的“人质”，保证其安全的重要性不言而喻。

不难发现，漏洞是网络攻击者作案成功的一个重要途径，但在软件开发过程中，60-70%的安全漏洞类型通过源代码静态分析技术是可以检测出来的。在恶意软件和勒索团伙“大肆盛行”的今天，在软件开发周期中纳入安全检测已势在必行。提升软件自身安全，是现有网络防护手段的重要补充!因此，在进行数据安全防护的同时，更要尽可能让软件本身“牢不可破”。