Hitachi Vantara の Pentaho Business Analytics に複数の脆弱性

Critical Flaws Uncovered in Pentaho Business Analytics Software

2021/11/01 TheHackerNews — Hitachi Vantara の Pentaho Business Analytics に複数の脆弱性が存在し、任意のデータファイルのアップロードや、アプリケーションのホストシステム上での任意のコード実行などが、脅威アクターたちに許される可能性があることが判明した。

この脆弱性は、今年のはじめに、ドイツのサイバー・セキュリティ企業である Hawsec の Alberto Favero と、Census Labs の Altion Malka が報告したものであり、Hitachi Vantara は必要なパッチを発行して問題に対処していた。

Pentaho は、Java ベースのビジネス・インテリジェンス・プラットフォームであり、データ統合/分析/オンライン分析処理 (OLAP)/マイニング機能を提供しており、Bell/CERN/Cipal/Logitech/Nasdaq/Telefonica/Teradata などの大手を顧客に抱えている。Pentaho Business Analytics の Ver 9.1 以下に影響する、脆弱性のリストは以下の通りだ。

CVE-2021-31599 (CVSS score: 9.9) – Remote Code Execution through Pentaho Report Bundles
CVE-2021-31600 (CVSS score: 4.3) – Jackrabbit User Enumeration
CVE-2021-31601 (CVSS score: 7.1) – Insufficient Access Control of Data Source Management
CVE-2021-31602 (CVSS score: 5.3) – Authentication Bypass of Spring APIs
CVE-2021-34684 (CVSS score: 9.8) – Unauthenticated SQL Injection
CVE-2021-34685 (CVSS score: 2.7) – Bypass of Filename Extension Restrictions

これらの欠陥が悪用されると、必要な権限を持つ認証済みのユーザーが、Pentaho Report Bundles をアップロード/実行し、ホストサーバー上で悪意のコードを実行できる。その結果、アプリケーションからの機密データの流出や、アプリケーションが強制するファイル名拡張子の制限を回避した、任意の種類のファイルのアップロードなどが生じる可能性がある。

さらに、低い権限で認証された攻撃者は、Pentaho Report Bundles を利用して、すべての Pentaho データソースの認証情報や接続情報を取得できる。また、認証されていないユーザーは、バックエンド・データベース上で任意の SQL クエリを実行し、データを取得できる。

これらの欠陥の重大性と、これらの欠陥が基礎となるシステムに及ぼすリスクを考慮して、このアプリケーションのユーザーに対しては、最新バージョンへのアップデートが強く推奨されている。

あまり聞き慣れない Pentaho ですが、本文にもあるように Bell/CERN/Cipal/Logitech/Nasdaq/Telefonica/Teradata などが顧客とのことです。Google で検索してみたところ、Pentaho を紹介するコンテンツが Qiita にありました。ひとことで言うと、Business Intelligence と Business Analytics のためのソフトウェアとのことです。詳しくは、上記のリンクをご参照ください。

%d bloggers like this: