什麼是Sage X3?
Sage X3是著名的軟體管理解決方案,當中包含 ERP、CRM、HR及項目管理等功能,服務對象主要為中小型公司,特別是製造商月經銷商,旨在提高客戶的生產效率與客戶服務。
簡介
近來有研究人員發現,Sage X3 ERP(企業資源規劃)平臺存在四個漏洞,其中一個在 CVSS 評分中獲得 10 分,被列為重大漏洞。而當中兩個漏洞可以串接在一起,並允許攻擊者完全接管系統,這可導致供應鏈受影響。這四個漏洞是由 Rapid7 的研究人員所發現,分別為 Jonathan Peterson、Aaron Herndon、Cale Black、Ryan Villarreal 和 William Vu。他們表示,最嚴重的缺陷存在於該平臺的遠程管理功能。因此,若管理服務商使用 SageX3 向其他企業提供功能,若遭受攻擊(如Kaseya)則有可能使其供應鏈遭到影響。研究人員表示,當結合CVE-2020-7387和CVE-2020-7388時,攻擊者可以首先瞭解受影響軟體的安裝路徑,然後使用該信息將命令傳遞給主機系統,在SYSTEM上下文中運行,這可以讓攻擊者執行任意操作命令來創建管理員級別的用戶,安裝惡意軟體,並以其他方式完全控制系統。
重大 RCE 漏洞 CVE-2020-7388
據 Rapid7 指出,CVE-2020-7388 允許攻擊者在 AdxDSrv.exe 組件中以高權限執行未經認證的遠程 RCE 命令。AdxAdmin 是一個負責通過主控台遠程管理 Sage X3 的功能,利用它可以讓攻擊者以高權限的 "NT AUTHORITY/SYSTEM "用戶身份在服務器上執行命令。默認情況下,管理服務在 TCP/1818 埠暴露,位於進程 "AdxDSrv.exe "下。而問題出於 Sage X3 在 Sage X3 控制台和 AdxDSrv.exe 之間互動時使用的自定義協議。Sage X3 控制台使用一個位元組序列製作一個認證請求,其中包括一個使用自定義機制加密的密碼,作為回應,AdxDSrv.exe 會發送四個位元組,表示認證成功。這些位元組都是以 \x00\x00 為前綴,然後是兩個明顯的隨機位元組,像是\x00\x00\x08\x14。在收到認證成功的響應後,就有可能執行遠程命令。研究人員解釋,臨時目錄是由客戶端指定的,其中包含要寫入服務器的 cmd 文件的名稱,帶有提供的 cmd 文件名的批處理文件被寫入磁盤,其中包含 ‘whoami’ 命令。在 AdxDSrv.exe 服務將臨時批處理文件寫入命名的文件夾後,它將在所提供的用戶憑證的安全背景下,通過對 CreateProcessAsUserAs 的 Windows API 調用來執行它。為了利用這個漏洞繞過認證過程,攻擊者可以製作一個特殊的請求給暴露的服務。研究人員說,網路攻擊者將需要避開發送命令執行時涉及的兩個組件。首先,攻擊者必須知道 AdxAdmin 服務的安裝目錄,這樣他們就可以指定要執行的cmd文件的完整路徑位置。獲取安裝目錄可以通過事先瞭解、有根據的猜測,或通過未經認證的遠程信息披露漏洞 CVE-2020-7387來完成。當涉及到大多數企業軟體時,安裝路徑名稱往往是相當可預測的--幾乎所有用戶都安裝到少數幾個驅動器字母之一的默認目錄中。其次,攻擊者必須混淆包括加密密碼的授權序列。這可以通過一系列欺騙 AdxDSrv.exe 認證和命令協議的數據包來實現,但要做一個關鍵的修改。研究人員補充,攻擊者可以簡單地交換一個位元組,使服務忽略所提供的用戶憑證,而在當前 AdxDSrv.exe 進程的安全上下文下執行,該進程以 NT AUTHORITY/SYSTEM 的身份運行。在這種模式下,請求的命令會以 SYSTEM 的身份執行,而不是模擬提供的用戶賬戶。這些問題會影響到平臺的 V9、V11和 V12 版本。
其他Sage X3 相關漏洞
其餘三個漏洞分別為 CVE-2020-7387、CVE-2020-7389、CVE-2020-7390,等級為中等。
CVE-2020-7387
AdxAdmin 中的敏感信息暴露給未經授權的行為者,CVSS 分數 5.3,影響 V9、V11 和 V12 版本。
CVE-2020-7389
Syracuse 中開發環境的關鍵功能認證缺失,CVSS分數為 5.5,影響 V9、V11 和 V12 版本
CVE-2020-7390
Syracuse 中的持久性跨站腳本(XSS),CVSS評級為4.6,僅影響 V12。據 Rapid7報道,這個問題之前是由 Cobalt 實驗室的 Vivek Srivastav 在1 月份報告給廠商的。
如前所述,作為 CVE-2020-7387 追蹤的錯誤允許攻擊者發現所需安裝目錄的路徑名,用於利用關鍵的 RCE 缺陷。
修補資訊
這三個符合條件的漏洞在 Sage X3 第 9 版(Syracuse 9.22.7.2 附帶的組件)、Sage X3 HR & Payroll 第 9 版(Syracuse 9.24.1.3 附帶的組件)、Sage X3 版本 11( Syracuse v11.25.2.6) 和 Sage X3 版本 12(Syracuse v12.10.2.8)。根據 Rapid7 的說法,如果無法立即應用更新,用戶還有其他補救措施:對於 CVE-2020-7388 和 CVE-2020-7387,不要將任何運行 Sage X3 的主機上的 AdxDSrv.exe TCP 埠暴露給互聯網或其他不受信任的網絡。作為進一步的預防措施,應在生產中完全停止 AdxAdmin 服務。對於 CVE-2020-7389,用戶不應將此 Web 應用程序界面暴露給不受信任的網絡。此外,Sage X3 的用戶應確保開發功能在生產環境中不可用。如果由於業務關鍵功能而導致網絡分段不方便,則應僅授予對託管 Sage X3 的機器具有系統管理權的用戶授予對 Web 應用程序的登錄訪問權限。Sage X3 安裝不應直接暴露在互聯網上,而應在需要時通過安全的 VPN 連接提供。遵循這一操作建議有效地緩解了所有四個漏洞,但用戶也盡快安裝修補程式。
參考資料:
https://threatpost.com/critical-sage-x3-rce-bug-allows-full-system-takeovers/167612/