Els investigadors d'Horizon3 van cridar l'atenció sobre els problemes de seguretat a la majoria d'instal·lacions de la plataforma d'anàlisi i visualització de dades Apache Superset. En 2124 dels 3176 servidors públics estudiats amb Apache Superset, es va detectar l'ús de la clau de xifratge estàndard especificada per defecte al fitxer de configuració d'exemple. Aquesta clau s'utilitza a la biblioteca de Flask Python per generar galetes de sessió, que permet a un atacant que conegui la clau generar paràmetres de sessió ficticis, connectar-se a la interfície web Apache Superset i carregar dades de bases de dades enllaçades o organitzar l'execució de codi amb drets d'Apache Superset. .
Curiosament, els investigadors van informar inicialment els desenvolupadors sobre el problema l'any 2021, després de la qual cosa en el llançament d'Apache Superset 1.4.1, format el gener de 2022, el valor del paràmetre SECRET_KEY es va substituir per la línia "CHANGE_ME_TO_A_COMPLEX_RANDOM_SECRET", es va comprovar afegit al codi, si aquest valor genera un avís al registre.
El febrer d'aquest any, els investigadors van decidir repetir l'anàlisi de sistemes vulnerables i es van enfrontar al fet que poca gent va prestar atenció a l'avís i el 67% dels servidors Apache Superset encara continuaven utilitzant claus d'exemples de configuració, plantilles de desplegament o documentació. Al mateix temps, algunes grans empreses, universitats i agències governamentals es trobaven entre les organitzacions que utilitzaven claus predeterminades.
Especificar una clau de treball en una configuració d'exemple ara es percep com una vulnerabilitat (CVE-2023-27524), que es va solucionar en el llançament d'Apache Superset 2.1 mitjançant la sortida d'un error que bloqueja l'inici de la plataforma quan s'utilitza la clau especificada a l'exemple (només es té en compte la clau especificada a la configuració d'exemple de la versió actual, les claus estàndard antigues i les claus de plantilles i documentació no estan bloquejades). S'ha proposat un script especial per comprovar la presència de vulnerabilitats a la xarxa.
Font: opennet.ru