Pesquisadores do Horizon3 chamaram a atenção para problemas de segurança na maioria das instalações da plataforma de análise e visualização de dados Apache Superset. Em 2124 dos 3176 servidores públicos estudados com Apache Superset, foi detectado o uso da chave de criptografia padrão especificada por padrão no arquivo de configuração de exemplo. Esta chave é usada na biblioteca Flask Python para gerar cookies de sessão, o que permite que um invasor que conheça a chave gere parâmetros de sessão fictícios, conecte-se à interface da web Apache Superset e carregue dados de bancos de dados vinculados ou organize a execução de código com direitos Apache Superset .
Curiosamente, os pesquisadores informaram inicialmente os desenvolvedores sobre o problema em 2021, após o que no lançamento do Apache Superset 1.4.1, formado em janeiro de 2022, o valor do parâmetro SECRET_KEY foi substituído pela linha “CHANGE_ME_TO_A_COMPLEX_RANDOM_SECRET”, uma verificação foi adicionado ao código, se esse valor gerar um aviso no log.
Em Fevereiro deste ano, os investigadores decidiram repetir a verificação dos sistemas vulneráveis e depararam-se com o facto de poucas pessoas prestarem atenção ao aviso e 67% dos servidores Apache Superset ainda continuarem a utilizar chaves de exemplos de configuração, modelos de implementação ou documentação. Ao mesmo tempo, algumas grandes empresas, universidades e agências governamentais estavam entre as organizações que utilizavam chaves padrão.
Especificar uma chave funcional em uma configuração de exemplo agora é percebida como uma vulnerabilidade (CVE-2023-27524), que foi corrigida no lançamento do Apache Superset 2.1 por meio da saída de um erro que bloqueia a inicialização da plataforma ao usar a chave especificada em o exemplo (apenas a chave especificada na configuração de exemplo da versão atual é levada em consideração, chaves padrão antigas e chaves de modelos e documentação não são bloqueadas). Um script especial foi proposto para verificar vulnerabilidades na rede.
Fonte: opennet.ru