Ngày 26 tháng 4 năm 2023Ravie Lakshmanan Bảo mật / Lỗ hổng máy chủ
Những người bảo trì phần mềm trực quan hóa dữ liệu nguồn mở Apache Superset đã phát hành các bản sửa lỗi để cắm một cấu hình mặc định không an toàn có thể dẫn đến thực thi mã từ xa.
Lỗ hổng, được theo dõi như CVE-2023-27524 (điểm CVSS: 8,9), tác động đến các phiên bản lên đến và bao gồm cả 2.0.1 và liên quan đến việc sử dụng SECRET_KEY mặc định có thể bị kẻ tấn công lạm dụng để xác thực và truy cập tài nguyên trái phép trên các bản cài đặt tiếp xúc với internet.
Naveen Sunkavally, kiến trúc sư trưởng tại Horizon3.ai, đã mô tả sự cố này là “một cấu hình mặc định nguy hiểm trong Apache Superset cho phép kẻ tấn công trái phép thực thi mã từ xa, thu thập thông tin đăng nhập và thỏa hiệp dữ liệu.”
Điều đáng chú ý là lỗ hổng này không ảnh hưởng đến các phiên bản Superset đã thay đổi giá trị mặc định cho cấu hình SECRET_KEY thành một chuỗi ngẫu nhiên an toàn hơn về mặt mật mã.
Công ty an ninh mạng đã phát hiện ra rằng SECRET_KEY được mặc định là giá trị “\x02\x01thisismyscretkey\x01\x02\\e\\y\\y\\h” khi cài đặt, cho biết 918 trong số 1.288 máy chủ có thể truy cập công khai đang sử dụng cấu hình mặc định vào tháng 10 năm 2021.
Sau đó, kẻ tấn công biết về khóa bí mật có thể đăng nhập vào các máy chủ này với tư cách quản trị viên bằng cách giả mạo cookie phiên và giành quyền kiểm soát hệ thống.
Vào ngày 11 tháng 1 năm 2022, những người bảo trì dự án đã cố gắng khắc phục sự cố bằng cách xoay giá trị SECRET_KEY thành “CHANGE_ME_TO_A_COMPLEX_RANDOM_SECRET” trong mã Python cùng với hướng dẫn người dùng để ghi đè giá trị đó.
Horizon3.ai cho biết họ đã tìm thấy thêm hai cấu hình SECRET_KEY bổ sung được gán các giá trị mặc định là “USE_YOUR_OWN_SECURE_RANDOM_KEY” và “thisISaSECRET_1234.”
Một tìm kiếm mở rộng được tiến hành vào tháng 2 năm 2023 với bốn khóa này đã tìm được 3.176 trường hợp, trong đó có 2.124 trường hợp đang sử dụng một trong các khóa mặc định. Một số người bị ảnh hưởng bao gồm các tập đoàn lớn, công ty nhỏ, cơ quan chính phủ và trường đại học.
Sau khi tiết lộ có trách nhiệm cho nhóm bảo mật Apache lần thứ hai, một bản cập nhật mới (phiên bản 2.1) đã được phát hành vào ngày 5 tháng 4 năm 2023 để bịt lỗ hổng bảo mật bằng cách ngăn máy chủ khởi động hoàn toàn nếu nó được định cấu hình với SECRET_KEY mặc định.
Sunkavally cho biết: “Mặc dù vậy, cách khắc phục này không phải là hoàn hảo vì vẫn có thể chạy Superset với SECRET_KEY mặc định nếu nó được cài đặt thông qua tệp docker-compose hoặc mẫu helm”.
“Tệp soạn thảo docker chứa SECRET_KEY mặc định mới của TEST_NON_DEV_SECRET mà chúng tôi nghi ngờ một số người dùng sẽ vô tình chạy Superset cùng với. Một số cấu hình cũng đặt quản trị viên/quản trị viên làm thông tin đăng nhập mặc định cho người dùng quản trị viên.”
Horizon3.ai cũng đã cung cấp một tập lệnh Python có thể được sử dụng để xác định xem các phiên bản Superset có dễ bị lỗ hổng hay không.
“Người ta thường chấp nhận rằng người dùng không đọc tài liệu và các ứng dụng nên được thiết kế để buộc người dùng đi theo con đường mà họ không có lựa chọn nào khác ngoài việc được bảo mật theo mặc định,” Sunkavally kết luận. “Cách tiếp cận tốt nhất là loại bỏ sự lựa chọn của người dùng và yêu cầu họ thực hiện các hành động có chủ ý để không an toàn một cách có mục đích.”
