Дослідники з компанії Horizon3 звернули увагу на проблеми з безпекою у більшості установок платформи аналізу та візуалізації даних Apache Superset. На 2124 з 3176 вивчених публічних серверів з Apache Superset виявлено використання типового ключа шифрування, вказаного за умовчанням у прикладі конфігураційного файлу. Цей ключ використовується в Python-бібліотеці Flask для генерації сесійних Cookie, що дозволяє знаючому ключу атакуючого сформувати фіктивні параметри сеансу, підключитися до web-інтерфейсу Apache Superset і завантажити дані з прив'язаних БД або організувати виконання коду з правами Apache Superset.
Цікаво, що спочатку дослідники повідомили розробників про проблему ще в 2021 році, після чого у випуску Apache Superset 1.4.1, сформованому в січні 2022 року, значення параметра SECRET_KEY було замінено на рядок «CHANGE_ME_TO_A_COMPLEX_RANDOM_SECRET» значення що виводить у лог попередження.
У лютому цього року дослідники вирішили повторити сканування вразливих систем і зіткнулися з тим, що на попередження мало хто звертає увагу і 67% серверів Apache Superset, як і раніше, продовжують застосовувати ключі з прикладів конфігурації, шаблонів розгортання або документації. При цьому серед організацій, які використовують ключі за умовчанням, опинилися деякі великі компанії, університети та держустанови.
Вказівка робочого ключа в прикладі конфігурації тепер сприйнята як вразливість (CVE-2023-27524), яка усунена у випуску Apache Superset 2.1 через виведення помилки, що блокує запуск платформи при використанні зазначеного в прикладі ключа (враховується тільки ключ, вказаний у прикладі конфігурації старі типові ключі та ключі із шаблонів та документації не блокуються). Для перевірки наявності вразливості мережі запропоновано спеціальний скрипт.
Джерело: opennet.ru