Sage X3 企業(yè)資源規(guī)劃 (ERP) 產(chǎn)品中發(fā)現(xiàn)了四個安全漏洞，其中兩個可以作為攻擊序列的關(guān)鍵部分鏈接在一起，使攻擊者能夠執(zhí)行惡意命令并控制易受攻擊的系統(tǒng)。

　　Sage X3簡介

　　賽捷集團(tuán)（Sage）是全球第三大管理軟件及解決方案專業(yè)提供商，并在倫敦股票交易所上市（股票代碼SGE），公司目前在全球擁有超過700萬家企業(yè)用，在全球擁有超過13400名員工，擁有超過3萬家專注于各行業(yè)解決方案的合作伙伴，擁有超過700萬家企業(yè)用戶。賽捷集團(tuán)2013財年銷售收入達(dá)到21.7億美金，是專為成長型企業(yè)提供全線管理軟件解決方案以及相關(guān)產(chǎn)品和服務(wù)的國際領(lǐng)先供應(yīng)商。

　　在中國，賽捷軟件超過19年的歷史，致力于以世界級的優(yōu)秀軟件方案幫助中國成長型企業(yè)開展先進(jìn)企業(yè)管理，超過2,000家企業(yè)用戶在運行賽捷的管理軟件，賽捷精細(xì)化的管理解決方案覆蓋了ERP、CRM、HCM、BI、企業(yè)社交、項目管理等功能，并且針對行業(yè)特殊需求提供行業(yè)解決方案。同時在移動互聯(lián)、大數(shù)據(jù)、物聯(lián)網(wǎng)的發(fā)展趨勢下，重磅推出移動互聯(lián)系列解決方案，結(jié)合新營銷的特性，為企業(yè)提供更多元化的服務(wù)，致力成為推動新領(lǐng)域發(fā)展的智慧企業(yè)。賽捷軟件（上海）有限公司是賽捷集團(tuán)在中國的代理商，在北京、杭州、廣州設(shè)有分支機(jī)構(gòu)，為賽捷集團(tuán)拓展在華業(yè)務(wù)。

　　Sage ERP X3是企業(yè)首選的企業(yè)級整體管理解決方案，是為企業(yè)量身定做的全面管理應(yīng)用系統(tǒng)。它是一套涵蓋生產(chǎn)、分銷、客戶關(guān)系管理、財務(wù)及商業(yè)智能分析在內(nèi)的完全集成的應(yīng)用軟件系統(tǒng)。Sage ERP X3既可以作為公司業(yè)務(wù)綜合管理系統(tǒng)，也可以按模塊運用于特殊的業(yè)務(wù)流程或分階段實施。Sage ERP X3支持包括中文簡體和繁體在內(nèi)的多種語言，同時支持多種貨幣之間的處理，系統(tǒng)的本地化版本保證與當(dāng)?shù)氐恼叻ㄒ?guī)的一致性（比如稅法和政府報告等），不僅遵循各種國際會計標(biāo)準(zhǔn)和程序，也適用于中國特殊的會計制度。該產(chǎn)品基于最新的SOA架構(gòu)，支持B/S和C/S運行方式，支持多個網(wǎng)點運營，支持所有的通用數(shù)據(jù)庫（比如MS-SQL、Oracle等）。Sage ERP X3廣泛應(yīng)用于制造行業(yè)、分銷業(yè)和服務(wù)業(yè)。

　　漏洞概述

　　這些問題是由 Rapid7 的研究人員發(fā)現(xiàn)的，他們于 2021 年 2 月 3 日將他們的發(fā)現(xiàn)通知了 Sage Group。此后，該供應(yīng)商在 Sage X3 第 9 版（Syracuse 9.22.7.2）、Sage X3 HR & Payroll 的最新版本中推出了修復(fù)程序3 月份發(fā)布的版本 9（Syracuse 9.24.1.3）、Sage X3 版本 11（Syracuse 11.25.2.6）和 Sage X3 版本 12（Syracuse 12.10.2.8）。

　　漏洞如下：

　　CVE-2020-7388（CVSS分?jǐn)?shù)：10.0）- Sage X3 未經(jīng)身份驗證的遠(yuǎn)程命令執(zhí)行 （RCE） 漏洞；

　　CVE-2020-7389（CVSS評分“5.5）-系統(tǒng)”CHAINE“變量腳本命令注入（未計劃修復(fù)）；

　　CVE-2020-7387（CVSS評分：5.3）——Sage X3 安裝路徑名泄露；

　　CVE-2020-7390（CVSS分?jǐn)?shù)：4.6）- 存儲在用戶配置文件”編輯“頁面上的 XSS 漏洞；

　　這批漏洞是由Rapid7的研究人員Jonathan Peterson （@deadjakk）、Aaron Herndon （@ac3lives）、Cale Black、Ryan Villarreal （@XjCrazy09）和William Vu發(fā)現(xiàn)的。它們是根據(jù)Rapid7的漏洞披露政策進(jìn)行披露的。Cobalt Labs的Vivek Srivastav于2021年1月向供應(yīng)商報告了CVE-2020-7390。

　　主要影響

　　“當(dāng)CVE-2020-7387 和 CVE-2020-7388 結(jié)合利用時，攻擊者可以首先了解受影響軟件的安裝路徑，然后使用該信息將命令傳遞給主機(jī)系統(tǒng)以SYSTEM權(quán)限上下文中運行，”研究人員說。“這可能允許攻擊者運行任意操作系統(tǒng)命令來創(chuàng)建管理員級別用戶、安裝惡意軟件，以及出于任何目的對系統(tǒng)的完全控制?！?/p>

　　最嚴(yán)重的問題是 CVE-2020-7388，它利用可通過Internet訪問的管理服務(wù)來制作惡意請求，目的是作為“NT AUTHORITY/SYSTEM”用戶在服務(wù)器上運行任意命令。該服務(wù)用于通過Sage X3控制臺遠(yuǎn)程管理 Sage ERP 解決方案。

　　另外，與Sage X3 Syracuse web服務(wù)器組件中的用戶配置文件相關(guān)聯(lián)的“編輯”頁面容易受到存儲XSS攻擊（CVE-2020-7390），使在“mouseOver”事件期間在“First Name”、“Last Name”和“Emails”字段中執(zhí)行任意JavaScript代碼。

　　“然而，如果成功，這個漏洞可能允許 Sage X3 的普通用戶以當(dāng)前登錄的管理員身份執(zhí)行特權(quán)功能或捕獲管理員會話cookie，以便以后冒充當(dāng)前登錄的管理員，”研究人員說。

　　另一方面，成功利用CVE-2020-7387會導(dǎo)致Sage X3安裝路徑暴露給未經(jīng)授權(quán)的用戶，而CVE-2020-7389則涉及Syracuse開發(fā)環(huán)境中缺失的身份驗證，該身份驗證可用于通過命令注入獲得代碼執(zhí)行。

　　研究人員在漏洞披露中指出：“一般來說，Sage X3安裝不應(yīng)直接暴露在互聯(lián)網(wǎng)上，而應(yīng)在需要時通過安全的 VPN 連接提供?！薄白裱@一操作建議有效地緩解了所有四個漏洞的利用可能，但仍敦促客戶根據(jù)他們通常的補丁周期時間表進(jìn)行更新。”

　　緩解措施

　　Sage X3版本9、版本11和版本12的最新本地版本解決了這些問題，并且敦促Sage X3的用戶盡早更新他們的Sage基礎(chǔ)設(shè)施。如果更新不能立即應(yīng)用，客戶應(yīng)考慮以下補救措施：

　　對于CVE-2020-7388和CVE-2020-7387，不要將任何運行Sage X3的主機(jī)上的AdxDSrv.exe TCP端口暴露到internet或其他不受信任的網(wǎng)絡(luò)。作為進(jìn)一步的預(yù)防措施，adxadmin服務(wù)應(yīng)該在生產(chǎn)過程中完全停止。

　　對于CVE-2020-7389，一般來說，用戶不應(yīng)該將此web應(yīng)用程序接口暴露給互聯(lián)網(wǎng)或其他不可信的網(wǎng)絡(luò)。此外，Sage X3的用戶應(yīng)該確保開發(fā)功能在生產(chǎn)環(huán)境中不可用。有關(guān)確保這一點的更多信息，請參考供應(yīng)商的最佳實踐文檔。

　　在由于業(yè)務(wù)關(guān)鍵功能而導(dǎo)致網(wǎng)絡(luò)隔離不到位的情況下，只有受托管Sage X3的機(jī)器的系統(tǒng)管理信任的用戶才應(yīng)該被授予登錄訪問web應(yīng)用程序的權(quán)限。