Výzkumníci z Horizon3 upozornili na bezpečnostní problémy ve většině instalací platformy pro analýzu a vizualizaci dat Apache Superset. Na 2124 z 3176 veřejných serverů studovaných s Apache Superset bylo zjištěno použití standardního šifrovacího klíče specifikovaného ve výchozím nastavení v příkladu konfiguračního souboru. Tento klíč se používá v knihovně Flask Python ke generování souborů cookie relace, což umožňuje útočníkovi, který zná klíč, generovat fiktivní parametry relace, připojit se k webovému rozhraní Apache Superset a načíst data z propojených databází nebo organizovat spouštění kódu s právy Apache Superset .
Zajímavé je, že výzkumníci zpočátku informovali vývojáře o problému již v roce 2021, poté byla ve vydání Apache Superset 1.4.1, vytvořeném v lednu 2022, hodnota parametru SECRET_KEY nahrazena řádkem „CHANGE_ME_TO_A_COMPLEX_RANDOM_SECRET“, kontrola byla provedena přidán do kódu, pokud tato hodnota vypíše varování do protokolu.
V únoru tohoto roku se výzkumníci rozhodli zopakovat skenování zranitelných systémů a museli čelit skutečnosti, že varování věnovalo jen málo lidí a 67 % serverů Apache Superset stále pokračovalo v používání klíčů z příkladů konfigurace, šablon nasazení nebo dokumentace. Mezi organizacemi, které používají výchozí klíče, byly zároveň některé velké společnosti, univerzity a vládní agentury.
Zadání pracovního klíče v ukázkové konfiguraci je nyní vnímáno jako chyba zabezpečení (CVE-2023-27524), která byla opravena ve vydání Apache Superset 2.1 prostřednictvím výstupu chyby, která blokuje spuštění platformy při použití klíče uvedeného v příklad (bere se v úvahu pouze klíč uvedený v konfiguraci příkladu aktuální verze, staré standardní klíče a klíče ze šablon a dokumentace nejsou blokovány). Pro kontrolu přítomnosti zranitelností v síti byl navržen speciální skript.
Zdroj: opennet.ru