Истражувачите од Horizon3 привлекоа внимание на безбедносните проблеми во повеќето инсталации на платформата за анализа и визуелизација на податоци Apache Superset. На 2124 од 3176 јавни сервери проучувани со Apache Superset, беше откриена употребата на стандардниот клуч за шифрирање наведен стандардно во конфигурациската датотека на примерот. Овој клуч се користи во библиотеката Flask Python за генерирање колачиња за сесија, што му овозможува на напаѓачот кој го знае клучот да генерира фиктивни параметри на сесија, да се поврзе со веб-интерфејсот на Apache Superset и да вчитува податоци од поврзани бази на податоци или да организира извршување на код со правата на Apache Superset .
Интересно, истражувачите првично ги информирале програмерите за проблемот уште во 2021 година, по што во изданието на Apache Superset 1.4.1, формирано во јануари 2022 година, вредноста на параметарот SECRET_KEY беше заменета со линијата „CHANGE_ME_TO_A_COMPLEX_RANDOM_SECRET проверка“, додадена на кодот, ако овие вредности даваат предупредување во дневникот.
Во февруари оваа година, истражувачите решија да го повторат скенирањето на ранливите системи и се соочија со фактот дека малку луѓе обрнаа внимание на предупредувањето и 67% од серверите на Apache Superset сè уште продолжија да користат клучеви од примери за конфигурација, шаблони за распоредување или документација. Во исто време, некои големи компании, универзитети и владини агенции беа меѓу организациите што користат стандардни клучеви.
Одредувањето на работен клуч во конфигурација на пример сега се доживува како ранливост (CVE-2023-27524), што беше поправено во објавувањето на Apache Superset 2.1 преку излез на грешка што го блокира стартувањето на платформата при користење на клучот наведен во примерот (се зема предвид само клучот наведен во конфигурацијата на примерот на тековната верзија, старите стандардни клучеви и клучеви од шаблони и документација не се блокирани). Посебна скрипта е предложена за проверка на пропусти преку мрежата.
Извор: opennet.ru