Los investigadores han detectado una grave vulnerabilidad de ejecución remota de código sin parches que viene de forma predeterminada en Apache Superset. La vulnerabilidad existía debido a una configuración predeterminada peligrosa, lo que hacía que miles de instancias de Superset estuvieran abiertas al público.
Apache Superset tiene vulnerabilidad de clave predeterminada
Según un artículo detallado de Horizon3.ai, sus investigadores encontraron al menos 3000 instancias de Apache Superset expuestas a Internet. Y alrededor de 2000 de ellos ejecutan una configuración predeterminada peligrosa. La explotación de esta vulnerabilidad permite que un atacante remoto ejecute código malicioso en la instancia objetivo de Apache Superset.
Apache Superset es una herramienta de visualización y exploración de datos de código abierto que es popular por su ligereza, intuición y opciones fáciles de usar para administrar big data.
Específicamente, la falla existía debido a una SECRET_KEY expuesta que el marco Flask subyacente de Superset usa para validar las cookies de sesión del usuario. Aunque esta clave se genera aleatoriamente por razones de seguridad, dejarla vulnerable a las escuchas no cumple su propósito. Por lo tanto, un adversario puede explotar esta SECRET_KEY expuesta para firmar una cookie de sesión falsa y hacerse pasar por un usuario legítimo. Y según los investigadores, esto es trivial.
La herramienta de unsignación de matraz lista para usar automatiza este trabajo: «descifra» una cookie de sesión para averiguar si fue firmada por una SECRET_KEY débil, luego falsifica una cookie de sesión falsa pero válida usando una SECRET_KEY conocida.
Sin embargo, la responsabilidad de esta vulnerabilidad aparentemente no recae en Superset, ya que la guía de configuración de Superset ya menciona la SECRET_KEY predeterminada y pide a los usuarios que cambien la clave más adelante. Sin embargo, parecía que la mayoría de los usuarios no habían prestado atención a este requisito, dejando miles de instancias expuestas al público, según una investigación de Shodan.
A esta vulnerabilidad se le ha asignado el CVE ID CVE-2023-27524.
Apache corrigió la falla
Tras el informe de error de los investigadores, el equipo de Superset investigó el problema y lanzó una solución con la versión 2.1 de Superset. Esta solución evita que el servidor comience con la configuración predeterminada, lo que obliga al usuario a cambiar SECRET_KEY. Sin embargo, los investigadores notaron que esta solución no funcionaba correctamente para Superset instalado con una plantilla docker-compose o helm.
Por razones de seguridad, los investigadores han notificado a muchas organizaciones que ejecutan servidores Superset vulnerables. Además, lanzaron un script en GitHub para que los usuarios verificaran la configuración vulnerable.
Háganos saber sus pensamientos en los comentarios.
