Angreifer können Sicherheitslücken in Ressourcenplanungstool Sage X3 kombinieren
Systeme mit Sage X3 sind unter anderem über eine kritische Schwachstelle mit Höchstwertung attackierbar.
(Bild: Photon photo/Shutterstock.com)
Wenn Unternehmen zur Ressourcenplanung Sage X3 einsetzen, sollten Admins die aktuelle Version installieren. Andernfalls könnten Angreifer Systeme attackieren und Schadcode mit System-Rechten ausführen.
Als besonders gefährlich gilt eine als „kritisch“ eingestufte Lücke (CVE-2021-7388) mit dem höchstmöglichen CVSS Score 10 von 10. Setzen entfernte Angreifer mit einer präparierten Anfrage erfolgreich an einem lauschenden Admin-Port an, könnten sie die komplette Authentifizierung lahmlegen. In Verbindung mit einer weiteren Lücke (CVE-2021-7387) könnten Informationen leaken, mit deren Hilfe Angreifer Schadcode auf Systeme schieben könnten. Davor warnen Sicherheitsforscher von Rapid7 in einem Beitrag.
Der Softwarehersteller Sage gibt an, die Schwachstellen in den aktuellen X3-Versionen geschlossen zu haben. Admins sollten die für sie infrage kommende Ausgabe herunterladen und zügig installieren. Zusätzlich empfehlen die Sicherheitsforscher X3-Instanzen nicht über das Internet zugänglich zu machen. Lässt sich das nicht vermeiden, sollte der Zugriff nur über eine gesicherte VPN-Verbindung möglich sein.
(des)
