I ricercatori di Horizon3 hanno notato problemi di sicurezza nella maggior parte delle installazioni della piattaforma di analisi e visualizzazione dei dati Apache Superset. Su 2124 dei 3176 server pubblici Apache Superset esaminati, è stato rilevato l'utilizzo della chiave di crittografia generica specificata per impostazione predefinita nel file di configurazione di esempio. Questa chiave viene utilizzata nella libreria Flask Python per generare cookie di sessione, che consente a un utente malintenzionato che conosce la chiave di generare parametri di sessione fittizi, connettersi all'interfaccia Web di Apache Superset e caricare dati da database associati o organizzare l'esecuzione di codice con i diritti di Apache Superset .
È interessante notare che i ricercatori hanno inizialmente informato gli sviluppatori del problema nel 2021, dopodiché, nel rilascio di Apache Superset 1.4.1, formatosi a gennaio 2022, il valore del parametro SECRET_KEY è stato sostituito con la stringa "CHANGE_ME_TO_A_COMPLEX_RANDOM_SECRET", un controllo è stato aggiunto al codice, se questo vale emettendo un avviso nel registro.
Nel febbraio di quest'anno, i ricercatori hanno deciso di ripetere la scansione dei sistemi vulnerabili e hanno scoperto che poche persone prestano attenzione all'avviso e il 67% dei server Apache Superset continua ancora a utilizzare le chiavi di esempi di configurazione, modelli di distribuzione o documentazione. Allo stesso tempo, alcune grandi aziende, università ed enti governativi erano tra le organizzazioni che utilizzavano chiavi predefinite.
La specifica di una chiave funzionante nella configurazione di esempio è ora percepita come una vulnerabilità (CVE-2023-27524), che è stata risolta nel rilascio di Apache Superset 2.1 tramite l'output di un errore che blocca l'avvio della piattaforma quando si utilizza la chiave specificata nell'esempio (viene presa in considerazione solo la chiave specificata nell'esempio di configurazione della versione corrente, le chiavi del vecchio tipo e le chiavi dei modelli e della documentazione non vengono bloccate). È stato proposto uno script speciale per verificare la presenza di una vulnerabilità sulla rete.
Fonte: opennet.ru