Разработчики уже выпустили исправление, применить его необходимо как можно скорее.
Компания Apache выпустила обновления , закрывающие две новые уязвимости в популярной аналитической платформе SuperSet. Эксплуатация этих уязвимостей ( CVE-2023-39265 и CVE-2023-37941 ) позволяет злоумышленнику получить удалённый доступ и контроль над системой.
Обновление до версии 2.1.1 также исправляет отдельную проблему с некорректными правами доступа к REST API (CVE-2023-36388), которая давала возможность пользователям с низкими привилегиями проводить атаки типа SSRF.
По словам экспертов безопасности из компании Horizon3, платформа SuperSet изначально разработана так, чтобы предоставлять привилегированным пользователям доступ к произвольным базам данных и возможность выполнять SQL-запросы. Если же злоумышленнику удастся подключиться к метаданным самого SuperSet, он сможет получить доступ к конфигурации и учётным данным, а также выполнить произвольный код.
Уязвимость CVE-2023-39265 связана с обходом проверки URI при подключении к базе метаданных SQLite, что и позволяет выполнять произвольные операции с данными. Также с этой уязвимостью связывают отсутствие проверки при импорте информации о подключении к SQLite из файла, что может быть использовано злоумышленниками для импорта вредоносных файлов.
CVE-2023-37941 позволяет внедрить произвольную полезную нагрузку в хранилище метаданных и выполнить её удалённо. Эта уязвимость связана с использованием библиотеки «pickle» для сериализации данных. Злоумышленник, получивший доступ к записи в базу метаданных, может внедрить вредоносный код, который будет десериализован и выполнен на сервере.
Среди других исправленных в последней версии SuperSet недостатков:
Эксперты рекомендуют генерировать уникальный «SECRET_KEY» для каждой конфигурации SuperSet, а не использовать значения по умолчанию. Это позволит избежать компрометации системы злоумышленниками.
По данным Horizon3, более 2000 из примерно 4000 открытых серверов SuperSet по-прежнему используют ключи по умолчанию. Около 70 систем имеют угадываемые ключи вроде «superset» или «123456».
Специалисты считают, что корень многих проблем кроется в том, что веб-интерфейс SuperSet изначально разрешает подключаться к базе метаданных. Это открывает возможности для атак, позволяя манипулировать конфигурацией и данными.
Разработчики обещают в дальнейшем ограничить доступ к метаданным и реализовать автоматическую генерацию ключей. Пользователям настоятельно рекомендуется установить последние обновления и проверить настройки безопасности системы.
Уязвимости в популярных Open Source решениях, таких как SuperSet, могут создавать серьёзные риски для безопасности организаций. Эксперты призывают следить за выходом обновлений и своевременно их устанавливать. Также важно грамотно настраивать систему и не использовать учётные данные и ключи по умолчанию.
Наш канал — питательная среда для вашего интеллекта