A Horizon3 kutatói felhívták a figyelmet az Apache Superset adatelemző és -vizualizációs platform legtöbb telepítésének biztonsági problémáira. Az Apache Superset segítségével vizsgált 2124 nyilvános szerver közül 3176-en a példa konfigurációs fájlban alapértelmezés szerint megadott szabványos titkosítási kulcs használatát észlelték. Ezt a kulcsot a Flask Python könyvtárban használják munkamenet-cookie-k generálására, amelyek lehetővé teszik a kulcsot ismerő támadó számára, hogy fiktív munkamenet-paramétereket generáljon, csatlakozzon az Apache Superset webes felülethez, és töltsön be adatokat a kapcsolt adatbázisokból, vagy szervezze meg a kódvégrehajtást Apache Superset jogokkal. .
Érdekes módon a kutatók kezdetben még 2021-ben tájékoztatták a fejlesztőket a problémáról, majd a 1.4.1 januárjában alakult Apache Superset 2022 kiadásában a SECRET_KEY paraméter értékét a „CHANGE_ME_TO_A_COMPLEX_RANDOM_SECRET” sorra cserélték, ellenőrzés történt. hozzáadva a kódhoz, ha ez az érték figyelmeztetést ad a naplóba.
Idén februárban a kutatók úgy döntöttek, hogy megismétlik a sebezhető rendszerek vizsgálatát, és szembesültek azzal a ténnyel, hogy kevesen figyeltek a figyelmeztetésre, és az Apache Superset szerverek 67%-a továbbra is a konfigurációs példákból, telepítési sablonokból vagy dokumentációból származó kulcsokat használt. Ugyanakkor néhány nagyvállalat, egyetem és kormányzati ügynökség is az alapértelmezett kulcsokat használó szervezetek közé tartozott.
A működő kulcs megadása egy példakonfigurációban most sebezhetőségnek számít (CVE-2023-27524), amelyet az Apache Superset 2.1 kiadásában javítottak ki egy hiba eredményeként, amely megakadályozza a platform indítását a következőben megadott kulcs használatakor. a példa (csak az aktuális verzió példakonfigurációjában megadott kulcsot veszik figyelembe, a régi szabványos kulcsok, valamint a sablonokból és a dokumentációból származó kulcsok nincsenek blokkolva). Egy speciális szkriptet javasoltak a hálózaton keresztüli sebezhetőségek ellenőrzésére.
Forrás: opennet.ru