Horizon3 pētnieki ir pamanījuši drošības problēmas lielākajā daļā Apache Superset datu analīzes un vizualizācijas platformas instalāciju. 2124 no 3176 pētītajiem Apache Superset publiskajiem serveriem tika konstatēta konfigurācijas parauga failā pēc noklusējuma norādītās vispārīgās šifrēšanas atslēgas izmantošana. Šī atslēga tiek izmantota Flask Python bibliotēkā, lai ģenerētu sesijas sīkfailus, kas ļauj uzbrucējam, kurš zina atslēgu, ģenerēt fiktīvus sesijas parametrus, izveidot savienojumu ar Apache Superset tīmekļa saskarni un ielādēt datus no saistītajām datu bāzēm vai organizēt koda izpildi ar Apache Superset tiesībām. .
Interesanti, ka sākotnēji pētnieki par problēmu ziņoja izstrādātājiem tālajā 2021. gadā, pēc tam 1.4.1. gada janvārī izveidotajā Apache Superset 2022 izlaidumā parametra SECRET_KEY vērtība tika aizstāta ar virkni "CHANGE_ME_TO_A_COMPLEX_RANDOM_SECRET", tika veikta pārbaude. pievienots kodam, ja šīs vērtības izdod brīdinājumu žurnālā.
Šā gada februārī pētnieki nolēma atkārtoti skenēt ievainojamās sistēmas un atklāja, ka daži cilvēki pievērš uzmanību brīdinājumam un 67% Apache Superset serveru joprojām turpina izmantot atslēgas no konfigurācijas piemēriem, izvietošanas veidnēm vai dokumentācijas. Tajā pašā laikā daži lieli uzņēmumi, universitātes un valsts aģentūras bija to organizāciju vidū, kuras izmantoja noklusējuma atslēgas.
Darba atslēgas norādīšana konfigurācijas paraugā tagad tiek uztverta kā ievainojamība (CVE-2023-27524), kas tiek novērsta Apache Superset 2.1 laidienā, izvadot kļūdu, kas bloķē platformas palaišanu, izmantojot norādīto atslēgu. piemērā (tiek ņemta vērā tikai pašreizējās versijas konfigurācijas piemērā norādītā atslēga, netiek bloķētas vecā tipa atslēgas un atslēgas no veidnēm un dokumentācijas). Ir ierosināts īpašs skripts, lai tīklā pārbaudītu ievainojamību.
Avots: opennet.ru