В многомерных кубах, используемых для бизнес-аналитики, обнаружены опасные уязвимости

Как сообщили эксперты из Санкт-Петербургской исследовательской компании Digital Security, им удалось обнаружить уязвимости в OLAP-серверах, которые не принимают ко вниманию разработчики.

Речь идет об уязвимостях в языке запросов MDX, которые провоцируют аналог SQL-инъекций для многомерных структур.

Так, бреши в MDX позволяют киберпреступникам получать несанкционированный доступ к данным, повышать привилегии пользователя, удаленно выполнять исполнительные коды, перенаправлять запросы, а также внедрять собственные процедуры на уязвимом языке запросов.

Эксперты отмечают, что актуальность проблемы вызвана повсеместным использованием OLAP-серверов для проведения бизнес-аналитики.

При этом, исследователи утверждают, что параметры для MDX-запросов на данные OLAP-сервера не фильтруются, а это позволяет хакерам внедрить свои данные в уже существующий запрос, и получить практически неограниченный доступ.

Согласно оценке экспертов, более 80% OLAP-серверов различных компаний содержит уязвимость, открывающую доступ к корпоративным ресурсам. «В случае успешной реализации атаки на систему Business Intelligence хакер достигнет сразу двух целей: получит доступ к ресурсам предприятия и скомпрометирует все критичные для компании данные, — резюмируют в Digital Security.

Источник: securitylab.ru