Istraživači na Horizon3 primijetili su sigurnosne probleme u većini instalacija platforme za analizu podataka i vizualizaciju Apache Superset. Na 2124 od 3176 proučavanih javnih poslužitelja Apache Superset otkrivena je upotreba generičkog ključa za šifriranje koji je prema zadanim postavkama naveden u uzorku konfiguracijske datoteke. Ovaj se ključ koristi u biblioteci Flask Python za generiranje kolačića sesije, što napadaču koji zna ključ omogućuje generiranje fiktivnih parametara sesije, povezivanje s web sučeljem Apache Superset i učitavanje podataka iz povezanih baza podataka ili organiziranje izvršavanja koda s pravima Apache Superseta .
Zanimljivo je da su istraživači prvobitno obavijestili programere o problemu još 2021., nakon čega je u izdanju Apache Superseta 1.4.1, formiranom u siječnju 2022., vrijednost parametra SECRET_KEY zamijenjena nizom "CHANGE_ME_TO_A_COMPLEX_RANDOM_SECRET", provjerom je dodan kodu, ako ove vrijednosti izlaze upozorenje u dnevnik.
U veljači ove godine istraživači su odlučili ponovno skenirati ranjive sustave i otkrili da malo ljudi obraća pozornost na upozorenje, a 67% Apache Superset poslužitelja još uvijek koristi ključeve iz primjera konfiguracije, predložaka za implementaciju ili dokumentacije. U isto vrijeme, neke velike tvrtke, sveučilišta i vladine agencije bile su među organizacijama koje koriste zadane ključeve.
Određivanje radnog ključa u oglednoj konfiguraciji sada se percipira kao ranjivost (CVE-2023-27524), koja je popravljena u izdanju Apache Superset 2.1 kroz izlaz pogreške koja blokira pokretanje platforme kada se koristi navedeni ključ u primjeru (u obzir se uzima samo ključ naveden u primjeru konfiguracije trenutne verzije, stari tip ključeva i ključevi iz predložaka i dokumentacije nisu blokirani). Predložena je posebna skripta za provjeru ranjivosti na mreži.
Izvor: opennet.ru