Los investigadores de Horizon3 han notado problemas de seguridad en la mayoría de las instalaciones de la plataforma de análisis y visualización de datos Apache Superset. En 2124 de los 3176 servidores públicos Apache Superset estudiados, se detectó el uso de la clave de cifrado genérica especificada de forma predeterminada en el archivo de configuración de muestra. Esta clave se usa en la biblioteca Flask Python para generar cookies de sesión, lo que permite que un atacante que conoce la clave genere parámetros de sesión ficticios, se conecte a la interfaz web de Apache Superset y cargue datos de bases de datos enlazadas u organice la ejecución de código con derechos de Apache Superset. .
Curiosamente, los investigadores inicialmente informaron el problema a los desarrolladores en 2021, después de lo cual, en el lanzamiento de Apache Superset 1.4.1, formado en enero de 2022, el valor del parámetro SECRET_KEY se reemplazó con la cadena "CHANGE_ME_TO_A_COMPLEX_RANDOM_SECRET", se realizó una verificación. agregado al código, si este valora la salida de una advertencia al registro.
En febrero de este año, los investigadores decidieron volver a escanear los sistemas vulnerables y descubrieron que pocas personas prestan atención a la advertencia y que el 67 % de los servidores Apache Superset siguen usando claves de ejemplos de configuración, plantillas de implementación o documentación. Al mismo tiempo, algunas grandes empresas, universidades y agencias gubernamentales se encontraban entre las organizaciones que usaban claves predeterminadas.
Especificar una clave de trabajo en la configuración de muestra ahora se percibe como una vulnerabilidad (CVE-2023-27524), que se solucionó en el lanzamiento de Apache Superset 2.1 a través de la salida de un error que bloquea el inicio de la plataforma cuando se usa la clave especificada. en el ejemplo (solo se tiene en cuenta la clave especificada en el ejemplo de configuración de la versión actual, no se bloquean las claves de tipo antiguo y las claves de plantillas y documentación). Se ha propuesto un script especial para verificar una vulnerabilidad en la red.
Fuente: opennet.ru