Sage X3 企業資源規劃 (ERP) 產品中發現了四個安全漏洞，其中兩個可以作為攻擊序列的關鍵部分鏈接在一起，使攻擊者能夠執行惡意命令并控制易受攻擊的系統。

　　Sage X3簡介

　　賽捷集團（Sage）是全球第三大管理軟件及解決方案專業提供商，并在倫敦股票交易所上市（股票代碼SGE），公司目前在全球擁有超過700萬家企業用，在全球擁有超過13400名員工，擁有超過3萬家專注于各行業解決方案的合作伙伴，擁有超過700萬家企業用戶。賽捷集團2013財年銷售收入達到21.7億美金，是專為成長型企業提供全線管理軟件解決方案以及相關產品和服務的國際領先供應商。

　　在中國，賽捷軟件超過19年的歷史，致力于以世界級的優秀軟件方案幫助中國成長型企業開展先進企業管理，超過2,000家企業用戶在運行賽捷的管理軟件，賽捷精細化的管理解決方案覆蓋了ERP、CRM、HCM、BI、企業社交、項目管理等功能，并且針對行業特殊需求提供行業解決方案。同時在移動互聯、大數據、物聯網的發展趨勢下，重磅推出移動互聯系列解決方案，結合新營銷的特性，為企業提供更多元化的服務，致力成為推動新領域發展的智慧企業。賽捷軟件（上海）有限公司是賽捷集團在中國的代理商，在北京、杭州、廣州設有分支機構，為賽捷集團拓展在華業務。

　　Sage ERP X3是企業首選的企業級整體管理解決方案，是為企業量身定做的全面管理應用系統。它是一套涵蓋生產、分銷、客戶關系管理、財務及商業智能分析在內的完全集成的應用軟件系統。Sage ERP X3既可以作為公司業務綜合管理系統，也可以按模塊運用于特殊的業務流程或分階段實施。Sage ERP X3支持包括中文簡體和繁體在內的多種語言，同時支持多種貨幣之間的處理，系統的本地化版本保證與當地的政策法規的一致性（比如稅法和政府報告等），不僅遵循各種國際會計標準和程序，也適用于中國特殊的會計制度。該產品基于最新的SOA架構，支持B/S和C/S運行方式，支持多個網點運營，支持所有的通用數據庫（比如MS-SQL、Oracle等）。Sage ERP X3廣泛應用于制造行業、分銷業和服務業。

　　漏洞概述

　　這些問題是由 Rapid7 的研究人員發現的，他們于 2021 年 2 月 3 日將他們的發現通知了 Sage Group。此后，該供應商在 Sage X3 第 9 版（Syracuse 9.22.7.2）、Sage X3 HR & Payroll 的最新版本中推出了修復程序3 月份發布的版本 9（Syracuse 9.24.1.3）、Sage X3 版本 11（Syracuse 11.25.2.6）和 Sage X3 版本 12（Syracuse 12.10.2.8）。

　　漏洞如下：

　　CVE-2020-7388（CVSS分數：10.0）- Sage X3 未經身份驗證的遠程命令執行 （RCE） 漏洞；

　　CVE-2020-7389（CVSS評分“5.5）-系統”CHAINE“變量腳本命令注入（未計劃修復）；

　　CVE-2020-7387（CVSS評分：5.3）——Sage X3 安裝路徑名泄露；

　　CVE-2020-7390（CVSS分數：4.6）- 存儲在用戶配置文件”編輯“頁面上的 XSS 漏洞；

　　這批漏洞是由Rapid7的研究人員Jonathan Peterson （@deadjakk）、Aaron Herndon （@ac3lives）、Cale Black、Ryan Villarreal （@XjCrazy09）和William Vu發現的。它們是根據Rapid7的漏洞披露政策進行披露的。Cobalt Labs的Vivek Srivastav于2021年1月向供應商報告了CVE-2020-7390。

　　主要影響

　　“當CVE-2020-7387 和 CVE-2020-7388 結合利用時，攻擊者可以首先了解受影響軟件的安裝路徑，然后使用該信息將命令傳遞給主機系統以SYSTEM權限上下文中運行，”研究人員說。“這可能允許攻擊者運行任意操作系統命令來創建管理員級別用戶、安裝惡意軟件，以及出于任何目的對系統的完全控制。”

　　最嚴重的問題是 CVE-2020-7388，它利用可通過Internet訪問的管理服務來制作惡意請求，目的是作為“NT AUTHORITY/SYSTEM”用戶在服務器上運行任意命令。該服務用于通過Sage X3控制臺遠程管理 Sage ERP 解決方案。

　　另外，與Sage X3 Syracuse web服務器組件中的用戶配置文件相關聯的“編輯”頁面容易受到存儲XSS攻擊（CVE-2020-7390），使在“mouseOver”事件期間在“First Name”、“Last Name”和“Emails”字段中執行任意JavaScript代碼。

　　“然而，如果成功，這個漏洞可能允許 Sage X3 的普通用戶以當前登錄的管理員身份執行特權功能或捕獲管理員會話cookie，以便以后冒充當前登錄的管理員，”研究人員說。

　　另一方面，成功利用CVE-2020-7387會導致Sage X3安裝路徑暴露給未經授權的用戶，而CVE-2020-7389則涉及Syracuse開發環境中缺失的身份驗證，該身份驗證可用于通過命令注入獲得代碼執行。

　　研究人員在漏洞披露中指出：“一般來說，Sage X3安裝不應直接暴露在互聯網上，而應在需要時通過安全的 VPN 連接提供。”“遵循這一操作建議有效地緩解了所有四個漏洞的利用可能，但仍敦促客戶根據他們通常的補丁周期時間表進行更新。”

　　緩解措施

　　Sage X3版本9、版本11和版本12的最新本地版本解決了這些問題，并且敦促Sage X3的用戶盡早更新他們的Sage基礎設施。如果更新不能立即應用，客戶應考慮以下補救措施：

　　對于CVE-2020-7388和CVE-2020-7387，不要將任何運行Sage X3的主機上的AdxDSrv.exe TCP端口暴露到internet或其他不受信任的網絡。作為進一步的預防措施，adxadmin服務應該在生產過程中完全停止。

　　對于CVE-2020-7389，一般來說，用戶不應該將此web應用程序接口暴露給互聯網或其他不可信的網絡。此外，Sage X3的用戶應該確保開發功能在生產環境中不可用。有關確保這一點的更多信息，請參考供應商的最佳實踐文檔。

　　在由于業務關鍵功能而導致網絡隔離不到位的情況下，只有受托管Sage X3的機器的系統管理信任的用戶才應該被授予登錄訪問web應用程序的權限。