นักวิจัยที่ Horizon3 สังเกตเห็นปัญหาด้านความปลอดภัยในการติดตั้งแพลตฟอร์มการวิเคราะห์ข้อมูลและการแสดงภาพ Apache Superset ส่วนใหญ่ จากการศึกษาเซิร์ฟเวอร์สาธารณะ Apache Superset จำนวน 2124 จาก 3176 เครื่อง ตรวจพบการใช้คีย์การเข้ารหัสทั่วไปที่ระบุโดยค่าเริ่มต้นในไฟล์การกำหนดค่าตัวอย่าง คีย์นี้ใช้ในไลบรารี Flask Python เพื่อสร้างคุกกี้เซสชัน ซึ่งอนุญาตให้ผู้โจมตีที่รู้คีย์สามารถสร้างพารามิเตอร์เซสชันสมมติ เชื่อมต่อกับเว็บอินเทอร์เฟซ Apache Superset และโหลดข้อมูลจากฐานข้อมูลที่ถูกผูกไว้ หรือจัดระเบียบการเรียกใช้โค้ดด้วยสิทธิ์ Apache Superset .
สิ่งที่น่าสนใจคือในตอนแรกนักวิจัยรายงานปัญหาให้นักพัฒนาทราบในปี 2021 หลังจากนั้นในการเปิดตัว Apache Superset 1.4.1 ซึ่งก่อตั้งขึ้นในเดือนมกราคม 2022 ค่าของพารามิเตอร์ SECRET_KEY ถูกแทนที่ด้วยสตริง "CHANGE_ME_TO_A_COMPLEX_RANDOM_SECRET" ก็มีการตรวจสอบ เพิ่มลงในโค้ดหากค่านี้ส่งคำเตือนไปยังบันทึก
ในเดือนกุมภาพันธ์ของปีนี้ นักวิจัยตัดสินใจสแกนระบบที่มีช่องโหว่อีกครั้ง และพบว่ามีคนเพียงไม่กี่คนที่ใส่ใจกับคำเตือนดังกล่าว และ 67% ของเซิร์ฟเวอร์ Apache Superset ยังคงใช้คีย์จากตัวอย่างการกำหนดค่า เทมเพลตการใช้งาน หรือเอกสารประกอบ ในเวลาเดียวกัน บริษัทขนาดใหญ่ มหาวิทยาลัย และหน่วยงานภาครัฐบางแห่งก็เป็นหนึ่งในองค์กรที่ใช้คีย์เริ่มต้น
ขณะนี้การระบุคีย์การทำงานในการกำหนดค่าตัวอย่างถูกมองว่าเป็นช่องโหว่ (CVE-2023-27524) ซึ่งได้รับการแก้ไขในการเปิดตัว Apache Superset 2.1 ผ่านเอาต์พุตของข้อผิดพลาดที่บล็อกการเปิดตัวแพลตฟอร์มเมื่อใช้คีย์ที่ระบุ ในตัวอย่าง (เฉพาะคีย์ที่ระบุในตัวอย่างการกำหนดค่าของเวอร์ชันปัจจุบันเท่านั้นที่จะถูกนำมาพิจารณา คีย์และคีย์ประเภทเก่าจากเทมเพลตและเอกสารประกอบจะไม่ถูกบล็อก) มีการเสนอสคริปต์พิเศษเพื่อตรวจสอบช่องโหว่บนเครือข่าย
ที่มา: opennet.ru