محققان Horizon3 متوجه مشکلات امنیتی در اکثر نصبهای پلتفرم تجزیه و تحلیل و تجسم دادههای Apache Superset شدهاند. در 2124 از 3176 سرور عمومی Apache Superset مورد مطالعه، استفاده از کلید رمزگذاری عمومی که به طور پیش فرض در فایل پیکربندی نمونه مشخص شده بود شناسایی شد. این کلید در کتابخانه Flask Python برای تولید کوکیهای جلسه استفاده میشود، که به مهاجمی که کلید را میداند اجازه میدهد تا پارامترهای جلسه ساختگی ایجاد کند، به رابط وب Apache Superset متصل شود و دادهها را از پایگاههای داده محدود بارگیری کند، یا اجرای کد را با حقوق Apache Superset سازماندهی کند. .
جالب اینجاست که محققان ابتدا این مشکل را در سال 2021 به توسعه دهندگان گزارش کردند، پس از آن، در انتشار Apache Superset 1.4.1، که در ژانویه 2022 شکل گرفت، مقدار پارامتر SECRET_KEY با رشته "CHANGE_ME_TO_A_COMPLEX_RANDOM_SECRET" جایگزین شد. به کد اضافه می شود، اگر این مقدار خروجی یک هشدار به گزارش را داشته باشد.
در فوریه سال جاری، محققان تصمیم به اسکن مجدد سیستمهای آسیبپذیر گرفتند و دریافتند که افراد کمی به این هشدار توجه میکنند و 67 درصد از سرورهای Apache Superset همچنان از کلیدهای نمونههای پیکربندی، قالبهای استقرار یا اسناد استفاده میکنند. در همان زمان، برخی از شرکت های بزرگ، دانشگاه ها و سازمان های دولتی از جمله سازمان هایی بودند که از کلیدهای پیش فرض استفاده می کردند.
تعیین یک کلید کاری در پیکربندی نمونه اکنون به عنوان یک آسیب پذیری درک می شود (CVE-2023-27524)، که در انتشار Apache Superset 2.1 از طریق خروجی یک خطا که راه اندازی پلت فرم را هنگام استفاده از کلید مشخص شده مسدود می کند، رفع می شود. در مثال (فقط کلید مشخص شده در نمونه پیکربندی نسخه فعلی در نظر گرفته شده است، کلیدهای نوع قدیمی و کلیدهای قالب ها و اسناد مسدود نمی شوند). یک اسکریپت ویژه برای بررسی آسیب پذیری در شبکه پیشنهاد شده است.
منبع: opennet.ru