Planning Analytics

Die Schwachstelle betrifft die Unternehmenssoftware IBM Planning Analytics, die für Planung, Budgetierung und Datenanalyse eingesetzt wird. Im Kern steht ein Konfigurationsfehler: Ein Angreifer kann eine bestehende Konfiguration überschreiben und sich dadurch ohne gültige Zugangsdaten als Benutzer „admin" anmelden. Mit diesem administrativen Zugang lässt sich anschließend über die TM1-Skriptfunktion eigener Programmcode ausführen – und zwar mit Root- beziehungsweise SYSTEM-Rechten, also den höchsten Rechten des darunterliegenden Servers. Der Angreifer erlangt damit die vollständige Kontrolle über das betroffene System. Der Angriff erfordert weder eine vorherige Anmeldung noch gültige Anmeldeinformationen, was die Hürde für eine Ausnutzung erheblich senkt. Betroffen sind Organisationen, die diese Analyse- und Planungsplattform betreiben; da solche Systeme häufig sensible Finanz- und Geschäftsdaten verarbeiten, wiegt eine vollständige Übernahme besonders schwer.