Raziskovalci pri Horizon3 so opazili varnostne težave pri večini namestitev platforme za analizo podatkov in vizualizacijo Apache Superset. Na 2124 od 3176 preučenih javnih strežnikov Apache Superset je bila zaznana uporaba generičnega šifrirnega ključa, ki je privzeto določen v vzorčni konfiguracijski datoteki. Ta ključ se uporablja v knjižnici Flask Python za generiranje sejnih piškotkov, kar napadalcu, ki pozna ključ, omogoča generiranje fiktivnih parametrov seje, povezavo s spletnim vmesnikom Apache Superset in nalaganje podatkov iz vezanih baz podatkov ali organiziranje izvajanja kode s pravicami Apache Superset .
Zanimivo je, da so raziskovalci razvijalce prvotno obvestili o težavi že leta 2021, nato pa je bila v izdaji Apache Superset 1.4.1, oblikovani januarja 2022, vrednost parametra SECRET_KEY zamenjana z nizom »CHANGE_ME_TO_A_COMPLEX_RANDOM_SECRET«, ček je bil dodan v kodo, če te vrednosti izpišejo opozorilo v dnevnik.
Februarja letos so se raziskovalci odločili ponovno pregledati ranljive sisteme in ugotovili, da malo ljudi upošteva opozorilo in 67 % strežnikov Apache Superset še vedno uporablja ključe iz primerov konfiguracije, predlog za uvajanje ali dokumentacije. Hkrati so bila nekatera velika podjetja, univerze in vladne agencije med organizacijami, ki uporabljajo privzete ključe.
Določanje delujočega ključa v vzorčni konfiguraciji je zdaj zaznano kot ranljivost (CVE-2023-27524), ki je odpravljena v izdaji Apache Superset 2.1 z izhodom napake, ki blokira zagon platforme pri uporabi podanega ključa v primeru (upošteva se le ključ, ki je naveden v primeru konfiguracije trenutne različice, stari tipski ključi in ključi iz predlog in dokumentacije niso blokirani). Za preverjanje ranljivosti v omrežju je bil predlagan poseben skript.
Vir: opennet.ru