0
0
Um problema de configuração padrão inseguro (CVE-2023-27524) torna a maioria dos servidores Apache Superset voltados para a Internet vulneráveis a invasores, Horizon3.ai pesquisadores descobriram.
Os administradores responsáveis pelas instâncias do Apache Superset devem verificar se elas estão entre esse lote, atualizá-las para uma versão fixa e verificar se os invasores podem ter explorado a fraqueza para violá-las.
Apache Superset e a fraqueza explorável generalizada
O Apache Superset é uma plataforma de exploração e visualização de dados que geralmente é integrada a uma variedade de bancos de dados.
O problema reside no fato de que o aplicativo Web baseado em Flask usa uma chave secreta padrão para assinar criptograficamente cookies de sessão para gerenciamento de estado do usuário, e muitos usuários não alteram essa chave após a instalação.
“A segurança do aplicativo da Web depende criticamente de garantir que o SECRET_KEY seja realmente secreto. Se o SECRET_KEY for exposto, um invasor sem privilégios anteriores pode gerar e assinar seus próprios cookies e acessar o aplicativo, disfarçado de usuário legítimo”, explicou Naveen Sunkavally, arquiteto-chefe da Horizon3.ai.
“A ferramenta pronta para uso do frasco-descartado automatiza esse trabalho: ‘quebrar’ um cookie de sessão para descobrir se ele foi assinado por um SECRET_KEY fraco e, em seguida, forjar um cookie de sessão falso, mas válido, usando um SECRET_KEY conhecido.”
Depois de forjar um cookie de sessão com um user_id ou _user_id valor definido como 1 (um valor frequentemente associado à conta de administrador), o invasor pode simplesmente colocar o cookie no armazenamento local do navegador e atualizar a página e eles estão dentro: eles têm acesso de administrador ao aplicativo Web.
“As interfaces administrativas para aplicativos da Web geralmente são ricas em recursos e resultam na execução remota de código no servidor de aplicativos”, acrescentou Sunkavally.
“Encontramos caminhos confiáveis para a execução remota de código em diferentes versões do Superset em uma variedade de configurações. A execução remota de código é possível tanto em bancos de dados conectados ao Superset quanto no próprio servidor Superset. Também encontramos uma série de métodos para coletar credenciais. Essas credenciais incluem hashes de senha de usuário Superset e credenciais de banco de dados, tanto em texto sem formatação quanto em um formato reversível.”
Há uma correção!
Os pesquisadores relataram a falha em outubro de 2011 e a equipe do Apache Superset a abordou alterando o SECRET_KEY padrão e adicionando um aviso aos usuários sobre a necessidade de alterá-lo para um aleatório e complexo.
Aviso da equipe do Apache Superset aos usuários (Fonte: Horizon3.ai)
Mas o aviso não foi atendido por muitos: os pesquisadores recentemente varreram a Internet com o Shodan para ver quantas configurações do Apache Superset existem por aí com essa configuração insegura e descobriram que dois terços (ou seja, 2124) das instâncias estavam usando uma chave padrão (a primeira, a segunda ou uma das duas adicionais encontradas em modelos de implantação e documentação).
“É comumente aceito que os usuários não lêem a documentação e os aplicativos devem ser projetados para forçar os usuários a seguir um caminho em que eles não têm escolha a não ser estar seguros por padrão”, comentou Sunkavally.
Então, desta vez, a equipe do Superset decidiu forçar a mudança: a v2.1 do aplicativo Web não permite que o servidor seja iniciado se estiver configurado com um SECRET_KEY padrão.
Mas, Sunkavally alertou, ainda é possível executar o Superset com um SECRET_KEY padrão se ele for instalado por meio de um arquivo docker-compose ou um modelo helm. “Algumas configurações também definem admin/admin como a credencial padrão para o usuário admin”, acrescentou.
Agora resta saber se essa melhoria, com o tempo, levará a um número menor de instâncias vulneráveis do Apache Superset na Internet.
Os pesquisadores fizeram sua parte encontrando e relatando a falha e notificando várias organizações afetadas. Eles também forneceram instruções de remediação e conselhos sobre como procurar evidências de intrusão.
FONTE: HELPNET SECURITY