Forskare vid Horizon3 har märkt säkerhetsproblem i de flesta installationer av Apache Superset-dataanalys- och visualiseringsplattformen. På 2124 3176 av XNUMX XNUMX offentliga Apache Superset-servrar som studerades upptäcktes användningen av den generiska krypteringsnyckeln som anges som standard i exempelkonfigurationsfilen. Den här nyckeln används i Flask Python-biblioteket för att generera sessionscookies, vilket gör att en angripare som känner till nyckeln kan generera fiktiva sessionsparametrar, ansluta till Apache Superset-webbgränssnittet och ladda data från bundna databaser eller organisera kodexekvering med Apache Superset-rättigheter .
Intressant nog informerade forskarna först utvecklarna om problemet redan 2021, varefter, i releasen av Apache Superset 1.4.1, bildad i januari 2022, ersattes värdet på parametern SECRET_KEY med strängen "CHANGE_ME_TO_A_COMPLEX_RANDOM_SECRET", en kontroll lades till i koden, om detta värde ger en varning till loggen.
I februari i år beslutade forskare att skanna om sårbara system och fann att få människor uppmärksammar varningen och 67 % av Apache Superset-servrarna fortsätter fortfarande att använda nycklar från konfigurationsexempel, distributionsmallar eller dokumentation. Samtidigt fanns några stora företag, universitet och statliga myndigheter bland de organisationer som använde standardnycklar.
Att ange en arbetsnyckel i exempelkonfigurationen uppfattas nu som en sårbarhet (CVE-2023-27524), vilket är fixat i utgåvan av Apache Superset 2.1 genom utmatningen av ett fel som blockerar lanseringen av plattformen när den angivna nyckeln används i exemplet (endast nyckeln som anges i konfigurationsexemplet för den aktuella versionen beaktas, gamla typnycklar och nycklar från mallar och dokumentation blockeras inte). Ett speciellt skript har föreslagits för att kontrollera om det finns en sårbarhet över nätverket.
Källa: opennet.ru