67% от публичните Apache Superset сървъри използват ключа за достъп от примера за конфигурация

Изследователи от Horizon3 са забелязали проблеми със сигурността в повечето инсталации на платформата за анализ на данни и визуализация на Apache Superset. На 2124 от 3176 проучени публични сървъра Apache Superset беше открито използването на общия ключ за криптиране, зададен по подразбиране в примерния конфигурационен файл. Този ключ се използва в библиотеката на Flask Python за генериране на сесийни бисквитки, което позволява на атакуващ, който знае ключа, да генерира фиктивни параметри на сесията, да се свърже с уеб интерфейса на Apache Superset и да зареди данни от свързани бази данни или да организира изпълнението на код с права на Apache Superset .

Интересното е, че изследователите първоначално докладваха за проблема на разработчиците през 2021 г., след което в изданието на Apache Superset 1.4.1, формирано през януари 2022 г., стойността на параметъра SECRET_KEY беше заменена с низа „CHANGE_ME_TO_A_COMPLEX_RANDOM_SECRET“, проверка беше добавени към кода, ако тези стойности извеждат предупреждение към дневника.

През февруари тази година изследователите решиха да сканират отново уязвимите системи и установиха, че малко хора обръщат внимание на предупреждението и 67% от сървърите на Apache Superset все още продължават да използват ключове от примери за конфигурация, шаблони за внедряване или документация. В същото време някои големи компании, университети и държавни агенции бяха сред организациите, използващи ключове по подразбиране.

Посочването на работещ ключ в примерната конфигурация вече се възприема като уязвимост (CVE-2023-27524), която е коригирана в изданието на Apache Superset 2.1 чрез извеждане на грешка, която блокира стартирането на платформата при използване на посочения ключ в примера (взема се предвид само ключът, посочен в примера за конфигурация на текущата версия, ключовете от стар тип и ключовете от шаблони и документация не се блокират). Предложен е специален скрипт за проверка за уязвимост в мрежата.

Източник: opennet.ru