Horizon3 teadlased juhtisid tähelepanu turvaprobleemidele enamikes Apache Superset andmeanalüüsi ja visualiseerimisplatvormi installides. 2124-l 3176-st Apache Supersetiga uuritud avalikust serverist tuvastati näidiskonfiguratsioonifailis vaikimisi määratud standardse krüpteerimisvõtme kasutamine. Seda võtit kasutatakse Flask Pythoni teegis seansiküpsisefailide genereerimiseks, mis võimaldab võtit tundval ründajal luua fiktiivseid seansi parameetreid, luua ühenduse Apache Superseti veebiliidesega ja laadida andmeid lingitud andmebaasidest või korraldada koodi täitmist Apache Superset õigustega. .
Huvitaval kombel teavitasid teadlased arendajaid algselt probleemist juba 2021. aastal, misjärel 1.4.1. aasta jaanuaris moodustatud Apache Superset 2022 väljalaskes asendati parameetri SECRET_KEY väärtus reaga “CHANGE_ME_TO_A_COMPLEX_RANDOM_SECRET”, kontroll tehti. lisatakse koodile, kui see väärtus annab logile hoiatuse.
Selle aasta veebruaris otsustasid teadlased haavatavate süsteemide skannimist korrata ja seisid silmitsi tõsiasjaga, et vähesed inimesed pöörasid hoiatusele tähelepanu ning 67% Apache Superseti serveritest jätkas konfiguratsiooninäidete, juurutusmallide või dokumentatsiooni võtmete kasutamist. Samal ajal olid vaikevõtmeid kasutavate organisatsioonide hulgas ka mõned suured ettevõtted, ülikoolid ja riigiasutused.
Töövõtme määramist näidiskonfiguratsioonis peetakse nüüd haavatavaks (CVE-2023-27524), mis parandati Apache Superset 2.1 väljalaskes tõrke väljundi kaudu, mis blokeerib platvormi käivitamise, kui kasutatakse jaotises määratud võtit. näide (arvestatakse ainult praeguse versiooni näidiskonfiguratsioonis määratud võtit, vanu standardvõtmeid ning mallide ja dokumentatsiooni võtmeid ei blokeerita). Võrgu kaudu turvaaukude olemasolu kontrollimiseks on pakutud välja spetsiaalne skript.
Allikas: opennet.ru