Специалисты из исследовательской лаборатории DSecRG компании Digital Security опубликовали подробности об уязвимостях, обнаруженных в приложениях бизнес-аналитики Oracle BI, которое используется во множестве крупных компаний.
В частности, в Oracle BI обнаружены следующие уязвимости: PL/SQL-инъекция в процедуре WB_OLAP_AW_SET_SOLVE_ID; PL/SQL-инъекция в процедуре WB_OLAP_AW_REMOVE_SOLVE_ID. Согласно опубликованным данным, уязвимости позволяют легитимному пользователю системы Oracle BI повысить свои привилегии до административного уровня, а также получить доступ к операционной системе и ко всем критичным для бизнеса данным.
«Патч для закрытия уязвимости вышел в апреле, но мы решили дать пользователям ещё один месяц на установку данного обновления, прежде чем опубликовывать код эксплоита», — сообщил Александр Поляков, технический директор Digital Security и руководитель исследовательского центра DSecRG. По его словам, уязвимости в Oracle BI были обнаружены в рамках исследований в области безопасности бизнес-приложений и разработки автоматизированного сканера безопасности ERPScan, предназначенного для аудита защищённости бизнес-приложений, который на данный момент реализован для аудита системы SAP.
Одно найти легче, чем другое. Спойлер: это не темная материя