Даследнікі з кампаніі Horizon3 звярнулі ўвагу на праблемы з бяспекай у большасці ўсталёвак платформы аналізу і візуалізацыі дадзеных Apache Superset. На 2124 з 3176 вывучаных публічных сервераў з Apache Superset выяўлена выкарыстанне тыпавога ключа шыфравання, паказанага па змаўчанні ў прыкладзе файла канфігурацыі. Дадзены ключ выкарыстоўваецца ў Python-бібліятэцы Flask для генерацыі сесійных Cookie, што дазваляе дасведчанаму ключ атакаваламу сфармаваць фіктыўныя параметры сеансу, падлучыцца да web-інтэрфейсу Apache Superset і загрузіць дадзеныя з прывязаных БД ці арганізаваць выкананне кода з правамі Apache Superset.
Цікава, што першапачаткова даследнікі паведамілі распрацоўнікам аб праблеме яшчэ ў 2021 году, пасля чаго ў выпуску Apache Superset 1.4.1, сфармаваным у студзені 2022 гады, значэнне параметру SECRET_KEY было заменена на радок «CHANGE_ME_TO_A_COMPLEX_RANDOM_SECRET». значэння выводзіць у лог папярэджанне.
У лютым гэтага года даследнікі вырашылі паўтарыць сканаванне ўразлівых сістэм і сутыкнуліся з тым, што на папярэджанне мала хто зважае і 67% сервераў Apache Superset па-ранейшаму працягваюць ужываць ключы з прыкладаў канфігурацыі, шаблонаў разгортвання або дакументацыі. Пры гэтым сярод арганізацый, якія выкарыстоўваюць ключы па змаўчанні, аказаліся некаторыя буйныя кампаніі, універсітэты і дзяржустановы.
Указанне працоўнага ключа ў прыкладзе канфігурацыі зараз успрынята як уразлівасць (CVE-2023-27524), якая ўхіленая ў выпуску Apache Superset 2.1 праз выснову памылкі, блакавальнай запуск платформы пры выкарыстанні паказанага ў прыкладзе ключа (улічваецца толькі ключ, паказаны ў прыкладзе канфігурацыі старыя тыпавыя ключы і ключы з шаблонаў і дакументацыі не блакуюцца). Для праверкі наяўнасці ўразлівасці па сетцы прапанаваны спецыяльны скрыпт.
Крыніца: opennet.ru