Os investigadores de Horizon3 chamaron a atención sobre os problemas de seguridade na maioría das instalacións da plataforma de análise e visualización de datos Apache Superset. En 2124 dos 3176 servidores públicos estudados con Apache Superset, detectouse o uso da clave de cifrado estándar especificada por defecto no ficheiro de configuración de exemplo. Esta chave utilízase na biblioteca Flask Python para xerar cookies de sesión, o que permite que un atacante que coñeza a clave xere parámetros de sesión ficticios, se conecte á interface web de Apache Superset e cargue datos de bases de datos vinculadas ou organice a execución de código con dereitos de Apache Superset. .
Curiosamente, os investigadores informaron inicialmente aos desenvolvedores sobre o problema en 2021, despois de que no lanzamento de Apache Superset 1.4.1, formado en xaneiro de 2022, o valor do parámetro SECRET_KEY foi substituído pola liña "CHANGE_ME_TO_A_COMPLEX_RANDOM_SECRET", comprobouse. engadido ao código, se este valor sae un aviso ao rexistro.
En febreiro deste ano, os investigadores decidiron repetir a exploración dos sistemas vulnerables e enfrontáronse ao feito de que poucas persoas prestaban atención ao aviso e o 67% dos servidores Apache Superset aínda seguían utilizando claves de exemplos de configuración, modelos de implantación ou documentación. Ao mesmo tempo, algunhas grandes empresas, universidades e axencias gobernamentais estaban entre as organizacións que usaban claves predeterminadas.
Especificar unha clave de traballo nunha configuración de exemplo agora percíbese como unha vulnerabilidade (CVE-2023-27524), que foi corrixida na versión de Apache Superset 2.1 mediante a saída dun erro que impide que a plataforma se inicie cando se utiliza a clave especificada en o exemplo (só se ten en conta a clave especificada na configuración de exemplo da versión actual, as claves estándar antigas e as claves de modelos e documentación non están bloqueadas). Propúxose un script especial para comprobar a presenza de vulnerabilidades na rede.
Fonte: opennet.ru