Поделиться
Эксперты: Разработчики BI-систем забыли о безопасности
Использующиеся для бизнес-аналитики многомерные кубы данных подвержены атакам через язык запросов. Крупнейшие вендоры не задумываются о том, что с помощью атак этого класса злоумышленники могут получать доступ к файлам и удаленно исполнять код, считают эксперты по безопасности.Аналитики компании Digital Security из Санкт-Петербурга заявили о том, что все разработчики OLAP-серверов (online analytical processing, обработка массивов данных в реальном времени) забывают об одном классе уязвимостей. Речь идет о возможности атак, основанных на брешах в безопасности языка запросов MDX, популярного в системах этого класса. Для многомерных структур данных он является аналогом SQL.
Через связанные с MDX уязвимости злоумышленники могут получать доступ к файлам, повышать привилегии учетных записей, удаленно исполнять код, перенаправлять запросы на другие сайты, внедрять собственные процедуры на языке запросов и т.д.
Демонстрацию таких уязвимостей эксперты компании провели на примерах OLAP-серверов Microsoft Analysis Services, IcCube OLAP Server (разработка MISConsulting), SAP и Panorama. Актуальность исследования уязвимостей систем этого класса в компании объясняют их повсеместным применением для бизнес-аналитики: в многомерных кубах хранят свои массивы данных системы BI.
У безопасности OLAP-серверов есть своя специфика по сравнению с защитой реляционных баз данных. «Например, администраторам OLAP-сервера нужно создать инфокуб из существующих таблиц, - поясняет CNews технический директор Digital Security Александр Поляков. - Вручную это сделать сложно, поэтому используются визарды, импортирующие в куб много ненужной информации, среди которой есть, например, логины и хеши паролей. Конечно, есть механизмы, которые регулируют права доступа к сущностям куба (меры, измерения и т.д.), но до них ни у кого не доходят руки».
ИБ-специалисты рассказали об уязвимости OLAP-серверов, а следовательно и BI-систем
Найти доступные из сети общего пользования OLAP-сервера можно с помощью поисковых машин. «Параметры для MDX-запросов на данные OLAP-сервера не фильтруются, что позволяет атакующим внедрить свои операторы в уже существующий запрос, в итоге получив доступ практически ко всем данным, - считают в ИБ-компании. - Более того, особенности языка MDX позволяют создавать пользовательские функции, с помощью которых атакующий может скомпрометировать сервер и компьютерную сеть компании в целом».
По оценке экспертов более 80% OLAP-серверов различных компаний имеет ту или иную уязвимость, открывающую доступ к корпоративным ресурсам. «В случае успешной реализации атаки на систему Business Intelligence хакер достигнет сразу двух целей: получит доступ к ресурсам предприятия и скомпрометирует все критичные для компании данные, - полагают в Digital Security. - Несомненно, можно найти еще множество уязвимостей в известных продуктах крупных производителей, однако, пока об этой проблеме не начать говорить, ситуация не изменится».
Поделиться
Короткая ссылка
