Horizon3-ի հետազոտողները ուշադրություն հրավիրեցին անվտանգության խնդիրների վրա Apache Superset տվյալների վերլուծության և վիզուալիզացիայի հարթակի մեծ մասում: Apache Superset-ով ուսումնասիրված 2124 հանրային սերվերներից 3176-ում հայտնաբերվել է օրինակի կազմաձևման ֆայլում լռելյայն նշված ստանդարտ կոդավորման բանալիի օգտագործումը: Այս բանալին օգտագործվում է Flask Python գրադարանում՝ սեսիայի թխուկներ ստեղծելու համար, ինչը թույլ է տալիս հարձակվողին, ով գիտի բանալին, ստեղծել ֆիկտիվ նստաշրջանի պարամետրեր, միանալ Apache Superset վեբ ինտերֆեյսին և բեռնել տվյալները կապված տվյալների բազաներից կամ կազմակերպել կոդի կատարումը Apache Superset-ի իրավունքներով: .
Հետաքրքիր է, որ հետազոտողները ի սկզբանե ծրագրավորողներին տեղեկացրել են խնդրի մասին դեռ 2021 թվականին, որից հետո 1.4.1 թվականի հունվարին ձևավորված Apache Superset 2022-ի թողարկման ժամանակ SECRET_KEY պարամետրի արժեքը փոխարինվել է «CHANGE_ME_TO_A_COMPLEX_RANDOM_SECRET» տողով: ավելացվել է կոդը, եթե այս արժեքները նախազգուշացում են տալիս գրանցամատյանում:
Այս տարվա փետրվարին հետազոտողները որոշեցին կրկնել խոցելի համակարգերի սկանավորումը և բախվեցին այն փաստի հետ, որ քիչ մարդիկ ուշադրություն դարձրին նախազգուշացմանը, և Apache Superset սերվերների 67%-ը դեռ շարունակում էր օգտագործել ստեղները կոնֆիգուրացիայի օրինակներից, տեղակայման կաղապարներից կամ փաստաթղթերից: Միևնույն ժամանակ, որոշ խոշոր ընկերություններ, համալսարաններ և պետական մարմիններ եղել են լռելյայն բանալիներ օգտագործող կազմակերպությունների թվում:
Օրինակի կոնֆիգուրացիայի մեջ աշխատանքային ստեղնը նշելն այժմ ընկալվում է որպես խոցելիություն (CVE-2023-27524), որը ամրագրվել է Apache Superset 2.1-ի թողարկման ժամանակ սխալի արդյունքում, որը արգելափակում է պլատֆորմի մեկնարկը, երբ օգտագործվում է նշված բանալին: օրինակը (հաշվի է առնվում միայն ընթացիկ տարբերակի օրինակի կազմաձևում նշված բանալին, կաղապարներից և փաստաթղթերից հին ստանդարտ ստեղները և ստեղները արգելափակված չեն): Ցանցում խոցելիության առկայությունը ստուգելու համար առաջարկվել է հատուկ սկրիպտ։
Source: opennet.ru