Horizon3:n tutkijat kiinnittivät huomiota tietoturvaongelmiin useimmissa Apache Superset -tietoanalyysi- ja visualisointialustan asennuksissa. Apache Supersetillä tutkitusta 2124 julkisesta palvelimesta 3176:ssä havaittiin esimerkkimääritystiedostossa oletuksena määritetyn vakiosalausavaimen käyttö. Tätä avainta käytetään Flask Python -kirjastossa istuntoevästeiden luomiseen, joiden avulla avaimen tunteva hyökkääjä voi luoda kuvitteellisia istuntoparametreja, muodostaa yhteyden Apache Superset -verkkoliittymään ja ladata tietoja linkitetyistä tietokannoista tai järjestää koodin suorittamisen Apache Superset -oikeuksilla. .
Mielenkiintoista on, että tutkijat ilmoittivat kehittäjille ongelmasta alun perin vuonna 2021, minkä jälkeen tammikuussa 1.4.1 muodostetun Apache Superset 2022 -julkaisussa SECRET_KEY-parametrin arvo korvattiin rivillä "CHANGE_ME_TO_A_COMPLEX_RANDOM_SECRET", tarkistus tehtiin. lisätään koodiin, jos tämä arvo antaa varoituksen lokiin.
Tämän vuoden helmikuussa tutkijat päättivät toistaa haavoittuvien järjestelmien tarkistuksen ja joutuivat siihen tosiasiaan, että harvat ihmiset kiinnittivät huomiota varoitukseen ja 67 % Apache Superset -palvelimista jatkoi edelleen konfigurointiesimerkkien, käyttöönottomallejen tai dokumentaation avaimien käyttöä. Samaan aikaan jotkut suuret yritykset, yliopistot ja valtion virastot olivat oletusavaimia käyttävien organisaatioiden joukossa.
Toimivan avaimen määrittäminen esimerkkikokoonpanossa nähdään nyt haavoittuvuutena (CVE-2023-27524), joka korjattiin Apache Superset 2.1:n julkaisussa virheen seurauksena, joka estää alustaa käynnistymästä käytettäessä kohdassa määritettyä avainta. esimerkki (vain nykyisen version esimerkkikonfiguraatiossa määritetty avain otetaan huomioon, vanhoja vakioavaimia ja avaimia malleista ja dokumentaatiosta ei lukita). Erityinen komentosarja on ehdotettu tarkistamaan haavoittuvuuksien esiintyminen verkossa.
Lähde: opennet.ru