Обнаружены опасные уязвимости в многомерных кубах, используемых для бизнес-аналитики
Бреши позволяют киберпреступникам компрометировать данные, повышать привилегии пользователя и удаленно выполнять различные коды.
Как сообщили эксперты из Санкт-Петербургской исследовательской компании Digital Security, им удалось обнаружить уязвимости в OLAP-серверах, которые не принимают ко вниманию разработчики.
Речь идет об уязвимостях в языке запросов MDX, которые провоцируют аналог SQL-инъекций для многомерных структур.
Так, бреши в MDX позволяют киберпреступникам получать несанкционированный доступ к данным, повышать привилегии пользователя, удаленно выполнять исполнительные коды, перенаправлять запросы, а также внедрять собственные процедуры на уязвимом языке запросов.
Эксперты отмечают, что актуальность проблемы вызвана повсеместным использованием OLAP-серверов для проведения бизнес-аналитики.
При этом, исследователи утверждают, что параметры для MDX-запросов на данные OLAP-сервера не фильтруются, а это позволяет хакерам внедрить свои данные в уже существующий запрос, и получить практически неограниченный доступ.
Согласно оценке экспертов, более 80% OLAP-серверов различных компаний содержит уязвимость, открывающую доступ к корпоративным ресурсам. «В случае успешной реализации атаки на систему Business Intelligence хакер достигнет сразу двух целей: получит доступ к ресурсам предприятия и скомпрометирует все критичные для компании данные, - резюмируют в Digital Security.
Подробнее с уведомлением экспертов можно ознакомиться здесь.Пройдите по шифрованной тропе информационной безопасности – подпишитесь на наш ТГ-канал!