Horizon3 的研究人员注意到 Apache Superset 数据分析和可视化平台的大多数安装中存在安全问题。 在所研究的 2124 台 Apache Superset 公共服务器中,有 3176 台检测到样本配置文件中默认指定的通用加密密钥的使用。 此密钥在 Flask Python 库中用于生成会话 cookie,这允许知道密钥的攻击者生成虚构的会话参数,连接到 Apache Superset web 界面并从绑定的数据库加载数据,或者使用 Apache Superset 权限组织代码执行.
有趣的是,研究人员最初在 2021 年向开发人员报告了该问题,此后,在 1.4.1 年 2022 月形成的 Apache Superset XNUMX 版本中,SECRET_KEY 参数的值被替换为字符串“CHANGE_ME_TO_A_COMPLEX_RANDOM_SECRET”,检查是添加到代码中,如果这个值输出警告到日志。
今年 67 月,研究人员决定重新扫描易受攻击的系统,发现很少有人注意警告,XNUMX% 的 Apache Superset 服务器仍在继续使用来自配置示例、部署模板或文档的密钥。 与此同时,一些大公司、大学和政府机构也在使用默认密钥。
在示例配置中指定工作密钥现在被视为漏洞 (CVE-2023-27524),该漏洞已在 Apache Superset 2.1 版本中修复,方法是在使用指定密钥时输出阻止平台启动的错误在示例中(仅考虑当前版本配置示例中指定的密钥,旧类型密钥以及模板和文档中的密钥未被阻止)。 已经提出了一个特殊的脚本来检查网络上的漏洞。
来源: opennet.ru