Para peneliti dari Horizon3 memperhatikan masalah keamanan di sebagian besar instalasi platform analisis dan visualisasi data Apache Superset. Pada 2124 dari 3176 server publik yang diteliti dengan Apache Superset, penggunaan kunci enkripsi standar yang ditentukan secara default dalam contoh file konfigurasi terdeteksi. Kunci ini digunakan di pustaka Flask Python untuk menghasilkan Cookie sesi, yang memungkinkan penyerang yang mengetahui kunci tersebut menghasilkan parameter sesi fiktif, terhubung ke antarmuka web Apache Superset dan memuat data dari database tertaut, atau mengatur eksekusi kode dengan hak Apache Superset .
Menariknya, para peneliti awalnya memberi tahu pengembang tentang masalah ini pada tahun 2021, setelah itu dalam rilis Apache Superset 1.4.1, yang dibentuk pada Januari 2022, nilai parameter SECRET_KEY diganti dengan baris βCHANGE_ME_TO_A_COMPLEX_RANDOM_SECRETβ, sebuah cek ditambahkan ke kode, jika nilai ini mengeluarkan peringatan ke log.
Pada bulan Februari tahun ini, para peneliti memutuskan untuk mengulangi pemindaian sistem yang rentan dan dihadapkan pada kenyataan bahwa hanya sedikit orang yang memperhatikan peringatan tersebut dan 67% server Apache Superset masih terus menggunakan kunci dari contoh konfigurasi, templat penerapan, atau dokumentasi. Pada saat yang sama, beberapa perusahaan besar, universitas, dan lembaga pemerintah termasuk di antara organisasi yang menggunakan kunci default.
Menentukan kunci yang berfungsi dalam konfigurasi contoh sekarang dianggap sebagai kerentanan (CVE-2023-27524), yang diperbaiki dalam rilis Apache Superset 2.1 melalui keluaran kesalahan yang menghalangi platform untuk memulai saat menggunakan kunci yang ditentukan dalam contoh (hanya kunci yang ditentukan dalam contoh konfigurasi versi saat ini yang diperhitungkan, kunci standar lama dan kunci dari templat dan dokumentasi tidak diblokir). Sebuah skrip khusus telah diusulkan untuk memeriksa keberadaan kerentanan melalui jaringan.
Sumber: opennet.ru