Apache Superset漏洞：不安全的默認配置使服務(wù)器暴露于RCE攻擊之下

Apache Superset開源數(shù)據(jù)可視化軟件的維護者已發(fā)布了修復(fù)程序，解決可能導(dǎo)致遠程代碼執(zhí)行的不安全默認配置。

該漏洞被跟蹤為 CVE-2023-27524(CVSS 分數(shù)：8.9)，影響 2.0.1 之前的版本，并與使用默認SECRET_KEY有關(guān)，攻擊者可能會濫用該默認來驗證和訪問暴露在互聯(lián)網(wǎng)設(shè)備上未經(jīng)授權(quán)的資源。

Horizon3.ai 首席架構(gòu)師將該問題描述為“Apache Superset中一個危險的默認配置，允許未經(jīng)授權(quán)的攻擊者獲得遠程代碼執(zhí)行、獲取憑證和泄露數(shù)據(jù)?！?/p>

值得注意的是，該缺陷不會影響已將SECRET_KEY配置的默認值更改為加密安全性更高的隨機字符串的Superset實例。

這家網(wǎng)絡(luò)安全公司發(fā)現(xiàn)，在安裝時，SECRET_KEY的默認值為“\x02\x01thisismyscretkey\x01\x02\\e\\y\\y\\h”。該公司表示，在2021年10月，1288臺可公開訪問的服務(wù)器中，有918臺使用了默認配置。

知道密鑰的攻擊者可以通過偽造會話cookie以管理員身份登錄到這些服務(wù)器，并獲得對系統(tǒng)的控制權(quán)。

在2022年1月11日，項目維護者試圖通過在Python代碼中將SECRET_KEY值旋轉(zhuǎn)為“CHANGE_ME_TO_A_COMPLEX_RANDOM_SECRET”以及覆蓋它的用戶指令來糾正問題。

Horizon3.ai 表示，進一步發(fā)現(xiàn)了另外兩個SECRET_KEY配置，這些配置被分配了默認值“USE_YOUR_OWN_SECURE_RANDOM_KEY”和“thisISaSECRET_1234”。

在2023年2月使用這四個密鑰進行的擴展搜索中，發(fā)現(xiàn)了3176個實例，其中2124個使用了一個默認密鑰。受影響的企業(yè)包括大公司、小公司、政府機構(gòu)和大學(xué)。

在向Apache安全團隊披露信息之后，于2023年4月5日發(fā)布了一個新的更新(版本2.1)，通過阻止服務(wù)器在配置默認SECRET_KEY時完全啟動來填補安全漏洞。

安全專家表示:“這個修復(fù)并不是萬無一失的，因為如果Superset是通過docker-compose文件或helm模板安裝的，那么它仍然可以使用默認的SECRET_KEY來運行。”

“docker-compose 文件包含一個新的默認SECRET_KEY TEST_NON_DEV_SECRET，我們懷疑某些用戶會在不知不覺中運行Superset。某些配置還將admin設(shè)置為管理員用戶的默認帳戶。

來源：

https://thehackernews.com/2023/04/apache-superset-vulnerability-insecure.html