La configurazione predefinita di Apache Superset è vulnerabile
Gli sviluppatori del software di visualizzazione dei dati open source Apache Superset hanno rilasciato un aggiornamento per modificare una configurazione predefinita non sicura che potrebbe portare all’esecuzione di codice remoto.
La vulnerabilità è catalogata con il codice CVE-2023-27524 e mostra un indice di pericolosità molto alto (CVSS 8,9); coinvolge le versioni di Superset fino alla 2.0.1 compresa e riguarda l’uso di una SECRET_KEY predefinita che potrebbe essere sfruttata per accedere a risorse non autorizzate nelle installazioni esposte a Internet.
Fonte: Horizon3.ai
Il problema è stato scoperto da Horizon3.ai, che lo ha descritto come una pericolosa configurazione predefinita che consente a un utente malintenzionato non autorizzato di eseguire codice remoto, raccogliere credenziali e compromettere i dati.
Impostazioni non sicure
Il difetto non ha alcun impatto sulle istanze Superset che hanno modificato il valore predefinito per la configurazione SECRET_KEY utilizzando una stringa casuale più sicura.
Tuttavia, la società di sicurezza ha scoperto che 918 dei 1.288 server accessibili al pubblico utilizzavano ancora la configurazione predefinita nel mese di ottobre 2021, quando la chiave “segreta” predefinita era \x02\x01thisismyscretkey\x01\x02\\e\\y\\y\\\h.
Un attaccante che conosce la chiave segreta predefinita potrebbe accedere ai server come amministratore falsificando un cookie di sessione, per poi assumere il controllo dei sistemi.
Per risolvere il problema, gli sviluppatori del progetto hanno implementato una prima correzione l’11 gennaio 2022, modificando il valore SECRET_KEY in “CHANGE_ME_TO_A_COMPLEX_RANDOM_SECRET” e aggiungendo istruzioni per modificarlo con una chiave personalizzata.
Inoltre, Horizon3.ai ha dichiarato di aver trovato altre due configurazioni SECRET_KEY con valori predefiniti “USE_YOUR_OWN_SECURE_RANDOM_KEY” e “thisISaSECRET_1234”.
Fonte: Horizon3.ai
Il problema non è risolto
Un’ulteriore verifica, effettuata nel febbraio di quest’anno, ha rivelato che 2.124 delle 3.176 istanze di Superset analizzate utilizzavano una delle chiavi predefinite; il problema riguardava aziende grandi e piccole, agenzie governative e università.
In risposta alla segnalazione, il team di sicurezza Apache ha rilasciato un nuovo aggiornamento (versione 2.1) il 5 aprile 2023 per colmare la falla di sicurezza, impedendo l’avvio del server se configurato con la SECRET_KEY predefinita.
L’aggiornamento non è però infallibile in quanto alcuni utenti potrebbero eseguire involontariamente Superset con un SECRET_KEY predefinito diverso, se utilizzano un file docker-compose o un modello helm.
Come se non bastasse, alcune configurazioni impostano admin/admin come credenziali predefinite per l’utente amministratore. Horizon3.ai ha reso disponibile uno script Python per verificare se le istanze Superset sono suscettibili al problema.
Naveen Sunkavally, Chief Architect di Horizon3.ai, ha commentato: “È comunemente accettato che gli utenti non leggano la documentazione e le applicazioni dovrebbero essere progettate per forzare gli utenti lungo un percorso in cui non hanno altra scelta che essere sicuri per impostazione predefinita”.
Condividi l’articolo
Articoli correlati
Altro in questa categoria
https://www.securityinfo.it/2023/04/26/la-configurazione-predefinita-di-apache-superset-e-vulnerabile/?utm_source=rss&utm_medium=rss&utm_campaign=la-configurazione-predefinita-di-apache-superset-e-vulnerabile