Tynnodd ymchwilwyr o Horizon3 sylw at broblemau diogelwch yn y rhan fwyaf o osodiadau llwyfan dadansoddi data a delweddu Apache Superset. Ar 2124 allan o 3176 o weinyddion cyhoeddus a astudiwyd gydag Apache Superset, canfuwyd y defnydd o'r allwedd amgryptio safonol a nodir yn ddiofyn yn y ffeil ffurfweddu enghreifftiol. Defnyddir yr allwedd hon yn llyfrgell Flask Python i gynhyrchu Cwcis sesiwn, sy'n caniatáu i ymosodwr sy'n gwybod yr allwedd gynhyrchu paramedrau sesiwn ffug, cysylltu â rhyngwyneb gwe Apache Superset a llwytho data o gronfeydd data cysylltiedig, neu drefnu gweithredu cod gyda hawliau Apache Superset .
Yn ddiddorol, hysbysodd yr ymchwilwyr y datblygwyr i ddechrau am y broblem yn ôl yn 2021, ac ar ôl hynny wrth ryddhau Apache Superset 1.4.1, a ffurfiwyd ym mis Ionawr 2022, disodlwyd gwerth paramedr SECRET_KEY gyda'r llinell “CHANGE_ME_TO_A_COMPLEX_RANDOM_SECRET”, siec oedd ychwanegu at y cod, os yw hyn yn gwerthoedd allbynnau rhybudd i'r log.
Ym mis Chwefror eleni, penderfynodd ymchwilwyr ailadrodd y sgan o systemau bregus ac roeddent yn wynebu'r ffaith mai ychydig o bobl a dalodd sylw i'r rhybudd a bod 67% o weinyddion Apache Superset yn dal i barhau i ddefnyddio allweddi o enghreifftiau ffurfweddu, templedi defnyddio neu ddogfennaeth. Ar yr un pryd, roedd rhai cwmnïau mawr, prifysgolion ac asiantaethau'r llywodraeth ymhlith y sefydliadau a ddefnyddiodd allweddi rhagosodedig.
Mae nodi allwedd sy'n gweithio mewn cyfluniad enghreifftiol bellach yn cael ei ystyried yn agored i niwed (CVE-2023-27524), a gafodd ei osod wrth ryddhau Apache Superset 2.1 trwy allbwn gwall sy'n rhwystro'r platfform rhag cychwyn wrth ddefnyddio'r allwedd a nodir yn yr enghraifft (dim ond yr allwedd a nodir yng nghyfluniad enghreifftiol y fersiwn gyfredol sy'n cael ei gymryd i ystyriaeth, nid yw hen allweddi safonol ac allweddi o dempledi a dogfennaeth yn cael eu rhwystro). Mae sgript arbennig wedi'i chynnig i wirio am bresenoldeb gwendidau dros y rhwydwaith.
Ffynhonnell: opennet.ru