Odhalené kritické chyby v softvéri Pentaho Business Analytics

V softvéri Pentaho Business Analytics od Hitachi Vantara bolo odhalených viacero zraniteľností, ktoré by mohli zneužiť záškodníci na nahranie ľubovoľných dátových súborov a dokonca spustenie ľubovoľného kódu na základnom hostiteľskom systéme aplikácie.

O bezpečnostných slabinách informovali výskumníci Alberto Favero z nemeckej kybernetickej firmy Hawsec a Altion Malka z Census Labs začiatkom tohto roka, čo prinútilo spoločnosť vydať potrebné záplaty na riešenie problémov.

Pentaho je platforma business intelligence založená na jazyku Java, ktorá ponúka integráciu údajov, analytiku, online analytické spracovanie (OLAP) a ťažobné funkcie a zahŕňa veľké spoločnosti a organizácie ako Bell, CERN, Cipal, Logitech, Nasdaq, Telefonica, Teradata a Národný pamätník a múzeum 11. septembra medzi svojich zákazníkov.

Zoznam nedostatkov, ktoré ovplyvňujú verzie Pentaho Business Analytics 9.1 a nižšie, je nasledovné –

  • CVE-2021-31599 (skóre CVSS: 9.9) – Vzdialené spustenie kódu prostredníctvom balíkov správ Pentaho
  • CVE-2021-31600 (skóre CVSS: 4.3) – Zoznam užívateľov Jackrabbit
  • CVE-2021-31601 (skóre CVSS: 7.1) – Nedostatočná kontrola prístupu k správe zdrojov údajov
  • CVE-2021-31602 (skóre CVSS: 5.3) – Obchádzanie autentifikácie Spring API
  • CVE-2021-34684 (skóre CVSS: 9.8) – Neoverená injekcia SQL
  • CVE-2021-34685 (skóre CVSS: 2.7) – Obídenie obmedzení rozšírenia názvu súboru

Úspešné využitie nedostatkov by mohlo umožniť overeným používateľom s dostatočnými oprávneniami na roly nahrávať a spúšťať balíky Pentaho Report Bundle spustenie škodlivého kódu na hostiteľskom serveri a exfiltráciu citlivých údajov aplikácie a obísť obmedzenia prípon súborov vynútené aplikáciou a nahrávať súbory akéhokoľvek typu.

A čo viac, mohli by byť využité aj nízkoprivilegovaným autentifikovaným útočníkom na získanie poverení a podrobností o pripojení všetkých dátových zdrojov Pentaho, čo by umožnilo strane zbierať a prenášať dáta, okrem toho, že umožňuje neoverenému používateľovi vykonávať ľubovoľné SQL dotazy na backendovú databázu a získavanie údajov.

Vzhľadom na kritickú povahu chýb a riziko, ktoré predstavujú pre základný systém, sa používateľom aplikácie dôrazne odporúča aktualizovať na najnovšiu verziu.