Horizon3 的研究人員注意到 Apache Superset 數據分析和可視化平台的大多數安裝中存在安全問題。 在所研究的 2124 台 Apache Superset 公共服務器中,有 3176 台檢測到樣本配置文件中默認指定的通用加密密鑰的使用。 此密鑰在 Flask Python 庫中用於生成會話 cookie,這允許知道密鑰的攻擊者生成虛構的會話參數,連接到 Apache Superset web 界面並從綁定的數據庫加載數據,或者使用 Apache Superset 權限組織代碼執行.
有趣的是,研究人員最初在 2021 年將該問題告知開發人員,此後,在 1.4.1 年 2022 月形成的 Apache Superset XNUMX 版本中,SECRET_KEY 參數的值被替換為字符串“CHANGE_ME_TO_A_COMPLEX_RANDOM_SECRET”,檢查被添加到代碼中,如果這個值輸出警告到日誌。
今年 67 月,研究人員決定重新掃描易受攻擊的系統,發現很少有人注意警告,XNUMX% 的 Apache Superset 服務器仍然繼續使用配置示例、部署模板或文檔中的密鑰。 與此同時,一些大公司、大學和政府機構也在使用默認密鑰。
在示例配置中指定工作密鑰現在被視為漏洞 (CVE-2023-27524),該漏洞已在 Apache Superset 2.1 版本中通過使用指定密鑰時阻止平台啟動的錯誤輸出得到修復在示例中(僅考慮當前版本配置示例中指定的密鑰,不阻止舊類型密鑰以及來自模板和文檔的密鑰)。 已經提出了一個特殊的腳本來檢查網絡上的漏洞。
來源: opennet.ru