Badacze z Horizon3 zwrócili uwagę na problemy bezpieczeństwa w większości instalacji platformy do analizy i wizualizacji danych Apache Superset. Na 2124 z 3176 serwerów publicznych zbadanych za pomocą Apache Superset wykryto użycie standardowego klucza szyfrowania określonego domyślnie w przykładowym pliku konfiguracyjnym. Klucz ten jest używany w bibliotece Flask Python do generowania plików cookie sesji, co umożliwia atakującemu znającemu klucz wygenerowanie fikcyjnych parametrów sesji, połączenie się z interfejsem sieciowym Apache Superset i załadowanie danych z połączonych baz danych lub zorganizowanie wykonania kodu z uprawnieniami Apache Superset .
Co ciekawe, badacze początkowo poinformowali programistów o problemie już w 2021 r., po czym w wydaniu Apache Superset 1.4.1, utworzonym w styczniu 2022 r., wartość parametru SECRET_KEY zastąpiono linią „CHANGE_ME_TO_A_COMPLEX_RANDOM_SECRET”, sprawdzono dodany do kodu, jeśli ta wartość powoduje wyświetlenie ostrzeżenia w dzienniku.
W lutym tego roku badacze postanowili powtórzyć skanowanie podatnych systemów i zetknęli się z faktem, że niewiele osób zwróciło uwagę na ostrzeżenie, a 67% serwerów Apache Superset w dalszym ciągu korzystało z kluczy z przykładów konfiguracji, szablonów wdrożeniowych lub dokumentacji. W tym samym czasie wśród organizacji korzystających z kluczy domyślnych znalazły się niektóre duże firmy, uniwersytety i agencje rządowe.
Określenie działającego klucza w przykładowej konfiguracji jest teraz postrzegane jako luka (CVE-2023-27524), która została naprawiona w wydaniu Apache Superset 2.1 poprzez wyświetlenie błędu, który blokuje uruchomienie platformy przy użyciu klucza określonego w przykład (pod uwagę brany jest tylko klucz podany w przykładowej konfiguracji aktualnej wersji, nie są blokowane stare klucze standardowe oraz klucze z szablonów i dokumentacji). Zaproponowano specjalny skrypt sprawdzający obecność luk w sieci.
Źródło: opennet.ru