Vulnerabilidade do Apache Superset: Configuração Padrão Insegura Expõe Servidores a Ataques de RCE
26 de Abril de 2023

Os mantenedores do software de visualização de dados de código aberto Apache Superset lançaram correções para corrigir uma configuração padrão insegura que poderia levar à execução remota de código.

A vulnerabilidade, rastreada como CVE-2023-27524 (pontuação CVSS: 8,9), afeta versões até e incluindo a 2.0.1 e relaciona-se ao uso de uma SECRET_KEY padrão que poderia ser abusada por atacantes para autenticar e acessar recursos não autorizados em instalações expostas na Internet.

Naveen Sunkavally, arquiteto-chefe da Horizon3.ai, descreveu o problema como "uma configuração padrão perigosa no Apache Superset que permite que um atacante não autenticado obtenha execução remota de código, capture credenciais e comprometa dados".

Vale ressaltar que a falha não afeta as instâncias do Superset que mudaram o valor padrão para a configuração SECRET_KEY para uma string aleatória mais criptograficamente segura.

A empresa de segurança cibernética, que descobriu que a SECRET_KEY é definida como "\x02\x01thisismyscretkey\x01\x02\\e\\y\\y\\h" no momento da instalação, disse que 918 dos 1.288 servidores publicamente acessíveis estavam usando a configuração padrão em outubro de 2021.

Um atacante que tivesse conhecimento da chave secreta poderia então fazer login nesses servidores como administrador, forjando um cookie de sessão e assumindo o controle dos sistemas.

Em 11 de janeiro de 2022, os mantenedores do projeto tentaram corrigir o problema girando o valor da SECRET_KEY para "CHANGE_ME_TO_A_COMPLEX_RANDOM_SECRET" no código Python, juntamente com instruções para substituí-lo.

A Horizon3.ai disse que descobriu ainda duas configurações adicionais de SECRET_KEY que receberam os valores padrão "USE_YOUR_OWN_SECURE_RANDOM_KEY" e "thisISaSECRET_1234".

Uma pesquisa expandida realizada em fevereiro de 2023 com essas quatro chaves descobriu 3.176 instâncias, das quais 2.124 estavam usando uma das chaves padrão.

Algumas das empresas afetadas incluem grandes corporações, pequenas empresas, agências governamentais e universidades.

Após a divulgação responsável para a equipe de segurança do Apache pela segunda vez, uma nova atualização (versão 2.1) foi lançada em 5 de abril de 2023 para corrigir a falha de segurança, impedindo que o servidor seja iniciado se estiver configurado com a SECRET_KEY padrão.

"No entanto, essa correção não é à prova de falhas, pois ainda é possível executar o Superset com uma SECRET_KEY padrão se ele for instalado por meio de um arquivo docker-compose ou um modelo helm", disse Sunkavally.

"O arquivo docker-compose contém uma nova SECRET_KEY padrão de TEST_NON_DEV_SECRET que suspeitamos que alguns usuários executarão o Superset sem saber.

Algumas configurações também definem admin/admin como a credencial padrão para o usuário admin." A Horizon3.ai também disponibilizou um script Python que pode ser usado para determinar se as instâncias do Superset estão suscetíveis à falha.

"É comumente aceito que os usuários não leem a documentação e as aplicações devem ser projetadas para forçar os usuários ao longo de um caminho em que eles não têm escolha a não ser serem seguros por padrão", concluiu Sunkavally.

"A melhor abordagem é tirar a escolha dos usuários e exigir que eles tomem ações deliberadas para serem intencionalmente inseguros."

Publicidade

Já viu o Cyberpunk Guide?

Imagine voltar ao tempo dos e-zines e poder desfrutar de uma boa revista contendo as últimas novidades, mas na pegada hacking old school.
Acesse gratuitamente o Cyberpunk Guide e fique por dentro dos mais modernos dispositivos usados pelos hackers. Saiba mais...