Ερευνητές από το Horizon3 επέστησαν την προσοχή στα προβλήματα ασφάλειας στις περισσότερες εγκαταστάσεις της πλατφόρμας ανάλυσης και οπτικοποίησης δεδομένων Apache Superset. Σε 2124 από τους 3176 δημόσιους διακομιστές που μελετήθηκαν με το Apache Superset, εντοπίστηκε η χρήση του τυπικού κλειδιού κρυπτογράφησης που καθορίζεται από προεπιλογή στο αρχείο διαμόρφωσης παραδείγματος. Αυτό το κλειδί χρησιμοποιείται στη βιβλιοθήκη Flask Python για τη δημιουργία Cookies περιόδου λειτουργίας, τα οποία επιτρέπουν σε έναν εισβολέα που γνωρίζει το κλειδί να δημιουργεί πλασματικές παραμέτρους περιόδου λειτουργίας, να συνδέεται με τη διεπαφή ιστού Apache Superset και να φορτώνει δεδομένα από συνδεδεμένες βάσεις δεδομένων ή να οργανώνει την εκτέλεση κώδικα με δικαιώματα Apache Superset .
Είναι ενδιαφέρον ότι οι ερευνητές ενημέρωσαν αρχικά τους προγραμματιστές για το πρόβλημα το 2021, μετά από το οποίο στην κυκλοφορία του Apache Superset 1.4.1, που δημιουργήθηκε τον Ιανουάριο του 2022, η τιμή της παραμέτρου SECRET_KEY αντικαταστάθηκε με τη γραμμή "CHANGE_ME_TO_A_COMPLEX_RANDOM_SECRET ήταν έλεγχος". προστίθεται στον κωδικό, εάν αυτές οι τιμές εξάγουν μια προειδοποίηση στο αρχείο καταγραφής.
Τον Φεβρουάριο του τρέχοντος έτους, οι ερευνητές αποφάσισαν να επαναλάβουν τη σάρωση ευάλωτων συστημάτων και αντιμετώπισαν το γεγονός ότι λίγοι άνθρωποι έδωσαν προσοχή στην προειδοποίηση και το 67% των διακομιστών Apache Superset εξακολουθούσαν να χρησιμοποιούν κλειδιά από παραδείγματα διαμόρφωσης, πρότυπα ανάπτυξης ή τεκμηρίωση. Ταυτόχρονα, ορισμένες μεγάλες εταιρείες, πανεπιστήμια και κρατικές υπηρεσίες ήταν μεταξύ των οργανισμών που χρησιμοποιούσαν προεπιλεγμένα κλειδιά.
Ο καθορισμός ενός κλειδιού εργασίας σε ένα παράδειγμα διαμόρφωσης γίνεται πλέον αντιληπτός ως μια ευπάθεια (CVE-2023-27524), η οποία διορθώθηκε στην κυκλοφορία του Apache Superset 2.1 μέσω της εξόδου ενός σφάλματος που εμποδίζει την εκκίνηση της πλατφόρμας κατά τη χρήση του κλειδιού που καθορίζεται στο το παράδειγμα (λαμβάνεται υπόψη μόνο το κλειδί που καθορίζεται στη διαμόρφωση παραδείγματος της τρέχουσας έκδοσης, τα παλιά τυπικά κλειδιά και τα κλειδιά από πρότυπα και τεκμηρίωση δεν έχουν αποκλειστεί). Έχει προταθεί ένα ειδικό σενάριο για τον έλεγχο της παρουσίας τρωτών σημείων στο δίκτυο.
Πηγή: opennet.ru