Horizon3 کے محققین نے Apache Superset ڈیٹا تجزیہ اور ویژولائزیشن پلیٹ فارم کی زیادہ تر تنصیبات میں سیکورٹی کے مسائل کی طرف توجہ مبذول کرائی۔ Apache Superset کے ساتھ مطالعہ کیے گئے 2124 پبلک سرورز میں سے 3176 پر، مثال کنفیگریشن فائل میں بطور ڈیفالٹ مخصوص معیاری انکرپشن کلید کے استعمال کا پتہ چلا۔ اس کلید کو فلاسک پائتھون لائبریری میں سیشن کوکیز بنانے کے لیے استعمال کیا جاتا ہے، جو ایک حملہ آور کو اجازت دیتا ہے جو فرضی سیشن پیرامیٹرز بنانے، اپاچی سپر سیٹ ویب انٹرفیس سے جڑنے اور منسلک ڈیٹا بیس سے ڈیٹا لوڈ کرنے، یا اپاچی سپر سیٹ کے حقوق کے ساتھ کوڈ کے عمل کو منظم کرنے کی کلید جانتا ہو۔ .
دلچسپ بات یہ ہے کہ محققین نے ابتدائی طور پر 2021 میں اس مسئلے کے بارے میں ڈویلپرز کو آگاہ کیا تھا، جس کے بعد جنوری 1.4.1 میں بننے والے اپاچی سپر سیٹ 2022 کی ریلیز میں، SECRET_KEY پیرامیٹر کی قدر کو "CHANGE_ME_TO_A_COMPLEX_RANDOM_SECRET" کی لائن سے تبدیل کر دیا گیا تھا۔ کوڈ میں شامل کیا گیا، اگر یہ قدریں لاگ کو انتباہ دیتی ہیں۔
اس سال فروری میں، محققین نے کمزور سسٹمز کے اسکین کو دہرانے کا فیصلہ کیا اور انہیں اس حقیقت کا سامنا کرنا پڑا کہ بہت کم لوگوں نے وارننگ پر توجہ دی اور 67% اپاچی سپر سیٹ سرورز نے اب بھی کنفیگریشن مثالوں، تعیناتی ٹیمپلیٹس یا دستاویزات سے کیز کا استعمال جاری رکھا۔ اسی وقت، کچھ بڑی کمپنیاں، یونیورسٹیاں اور سرکاری ایجنسیاں ڈیفالٹ کیز استعمال کرنے والی تنظیموں میں شامل تھیں۔
مثال کی ترتیب میں کام کرنے والی کلید کی وضاحت کرنا اب ایک کمزوری (CVE-2023-27524) کے طور پر سمجھا جاتا ہے، جسے Apache Superset 2.1 کی ریلیز میں ایک خامی کے آؤٹ پٹ کے ذریعے طے کیا گیا تھا جو پلیٹ فارم کو شروع ہونے سے روکتا ہے مثال (موجودہ ورژن کی مثال کی ترتیب میں صرف کلید کو مدنظر رکھا گیا ہے، پرانی معیاری چابیاں اور ٹیمپلیٹس اور دستاویزات کی کلیدیں مسدود نہیں ہیں)۔ نیٹ ورک پر کمزوریوں کی جانچ کے لیے ایک خصوصی اسکرپٹ تجویز کیا گیا ہے۔
ماخذ: opennet.ru