퍼블릭 Apache Superset 서버의 67%가 구성 예제의 액세스 키를 사용합니다.

Horizon3의 연구원들은 대부분의 Apache Superset 데이터 분석 및 시각화 플랫폼 설치에서 보안 문제를 발견했습니다. 2124개 Apache Superset 공개 서버 중 3176개에서 샘플 구성 파일에 기본적으로 지정된 일반 암호화 키의 사용이 감지되었습니다. 이 키는 Flask Python 라이브러리에서 세션 쿠키를 생성하는 데 사용되며, 이를 통해 키를 알고 있는 공격자가 가상 ​​세션 매개 변수를 생성하고, Apache Superset 웹 인터페이스에 연결하고 바인딩된 데이터베이스에서 데이터를 로드하거나 Apache Superset 권한으로 코드 실행을 구성할 수 있습니다. .

흥미롭게도 연구원들은 처음에 2021년에 개발자들에게 이 문제에 대해 알렸고, 그 후 1.4.1년 2022월에 형성된 Apache Superset XNUMX 릴리스에서 SECRET_KEY 매개변수의 값이 "CHANGE_ME_TO_A_COMPLEX_RANDOM_SECRET" 문자열로 대체되었습니다. 이 값이 로그에 경고를 출력하는 경우 코드에 추가되었습니다.

올해 67월에 연구원들은 취약한 시스템을 재스캔하기로 결정했고 경고에 주의를 기울이는 사람이 거의 없으며 Apache Superset 서버의 XNUMX%가 여전히 구성 예제, 배포 템플릿 또는 문서의 키를 계속 사용하고 있음을 발견했습니다. 동시에 일부 대기업, 대학 및 정부 기관은 기본 키를 사용하는 조직 중 하나였습니다.

샘플 구성에서 작업 키를 지정하는 것은 이제 취약점(CVE-2023-27524)으로 인식되며 지정된 키를 사용할 때 플랫폼 실행을 차단하는 오류 출력을 통해 Apache Superset 2.1 릴리스에서 수정되었습니다. 예에서(현재 버전의 구성 예에 지정된 키만 고려되며 이전 유형 키와 템플릿 및 문서의 키는 차단되지 않음). 네트워크를 통해 취약점을 확인하기 위해 특수 스크립트가 제안되었습니다.

출처 : opennet.ru