Výskumníci z Horizon3 upozornili na bezpečnostné problémy vo väčšine inštalácií platformy na analýzu a vizualizáciu dát Apache Superset. Na 2124 3176 z XNUMX XNUMX verejných serverov študovaných s Apache Superset sa zistilo použitie štandardného šifrovacieho kľúča špecifikovaného predvolene v príklade konfiguračného súboru. Tento kľúč sa používa v knižnici Flask Python na generovanie súborov cookie relácie, čo umožňuje útočníkovi, ktorý tento kľúč pozná, generovať fiktívne parametre relácie, pripojiť sa k webovému rozhraniu Apache Superset a načítať údaje z prepojených databáz alebo organizovať spustenie kódu s právami Apache Superset. .
Je zaujímavé, že výskumníci spočiatku informovali vývojárov o probléme už v roku 2021, po čom pri vydaní Apache Superset 1.4.1, ktorý vznikol v januári 2022, bola hodnota parametra SECRET_KEY nahradená riadkom „CHANGE_ME_TO_A_COMPLEX_RANDOM_SECRET“, kontrola bola vykonaná pridané do kódu, ak táto hodnota vypíše varovanie do protokolu.
Vo februári tohto roku sa výskumníci rozhodli zopakovať kontrolu zraniteľných systémov a čelili skutočnosti, že varovaniu venovalo len málo ľudí pozornosť a 67 % serverov Apache Superset stále používa kľúče z príkladov konfigurácie, šablón nasadenia alebo dokumentácie. Medzi organizáciami, ktoré používajú predvolené kľúče, boli zároveň aj niektoré veľké spoločnosti, univerzity a vládne agentúry.
Zadanie pracovného kľúča vo vzorovej konfigurácii je teraz vnímané ako zraniteľnosť (CVE-2023-27524), ktorá bola opravená vo vydaní Apache Superset 2.1 prostredníctvom výstupu chyby, ktorá blokuje spustenie platformy pri použití kľúča špecifikovaného v príklad (berie sa do úvahy iba kľúč uvedený v konfigurácii príkladu aktuálnej verzie, staré štandardné kľúče a kľúče zo šablón a dokumentácie nie sú blokované). Na kontrolu zraniteľností v sieti bol navrhnutý špeciálny skript.
Zdroj: opennet.ru