Se han lanzado parches para abordar dos nuevas vulnerabilidades de seguridad en Apache SuperSet que podría ser explotado por un atacante para obtener la ejecución remota de código en los sistemas afectados.
Los enchufes de actualización (versión 2.1.1) CVE-2023-39265 y CVE-2023-37941que permiten llevar a cabo acciones nefastas una vez que un mal actor puede obtener el control de la base de datos de metadatos de Superset.
Fuera de estas debilidades, la última versión de Superset también soluciona un problema de permisos de API REST inadecuado por separado (CVE-2023-36388) que permite a los usuarios con pocos privilegios llevar a cabo la falsificación de solicitudes del lado del servidor (SSRF) ataques.
«El superconjunto por diseño permite a los usuarios privilegiados conectarse a bases de datos arbitrarias y ejecutar consultas SQL arbitrarias en esas bases de datos utilizando la potente interfaz SQLLab», Naveen Sunkavally de Horizon3.ai. dicho en un artículo técnico.
«Si se puede engañar a Superset para que se conecte a su propia base de datos de metadatos, un atacante puede leer o escribir directamente la configuración de la aplicación a través de SQLLab. Esto conduce a la recolección de credenciales y la ejecución remota de código».
CVE-2023-39265 se relaciona con un caso de omisión de URI al conectarse al base de datos SQLite utilizado para el metastore, lo que permite a un atacante ejecutar comandos de manipulación de datos.
También se rastrea como parte del mismo identificador CVE la falta de validación al importar información de conexión de base de datos SQLite desde un archivo, lo que podría usarse para importar un archivo ZIP creado con fines malintencionados.
«Las versiones Superset de 1.5 a 2.1.0 usan el paquete pickle de Python para almacenar ciertos datos de configuración», dijo Sunkavally sobre CVE-2023-37941.
«Un atacante con acceso de escritura a la base de datos de metadatos puede insertar una carga útil arbitraria en la tienda y luego activar la deserialización de la misma, lo que lleva a la ejecución remota de código».
Algunas de las otras fallas que se han solucionado en la última versión se encuentran a continuación:
- Una vulnerabilidad de lectura de archivos arbitrarios de MySQL que podría explotarse para obtener credenciales para la base de datos de metadatos
- El abuso del superconjunto comando cargar_ejemplos para obtener el URI de la base de datos de metadatos desde la interfaz de usuario y modificar los datos almacenados en ella
- El uso de credenciales predeterminadas para acceder a la base de datos de metadatos en algunas instalaciones de Superset
- La filtración de credenciales de base de datos en texto sin formato al consultar la API /api/v1/database como usuario privilegiado (CVE-2023-30776arreglado en 2.1.0)
La divulgación se produce poco más de cuatro meses después de que la compañía revelara una falla de alta gravedad en el mismo producto (CVE-2023-27524, puntuación CVSS: 8,9) que podría permitir a atacantes no autorizados obtener acceso de administrador a los servidores y ejecutar código arbitrario.
Demasiado vulnerable: descubrir el estado de la superficie de ataque a la identidad
¿Consiguió el MFA? ¿PAM? ¿Protección de la cuenta de servicio? Descubra qué tan bien equipada está realmente su organización contra las amenazas a la identidad
El problema surge como resultado del uso de una SECRET_KEY predeterminada que los atacantes podrían utilizar para autenticar y acceder a recursos no autorizados en instalaciones expuestas a Internet.
Desde la divulgación pública de la falla en abril de 2023, Horizon3.ai dijo que 2076 de 3842 servidores Superset todavía usan una SECRET_KEY predeterminada, y aproximadamente 72 instancias usan una SECRET_KEY trivialmente adivinable como superset, SUPERSET_SECRET_KEY, 1234567890, admin, changeme, thisisasecretkey, y tu_clave_secreta_aquí.
«El usuario es responsable de configurar Flask SECRET_KEY, lo que invariablemente lleva a que algunos usuarios establezcan claves débiles», dijo Sunkavally, instando a los mantenedores a agregar soporte para generar automáticamente la clave.
«En la raíz de muchas de las vulnerabilidades […] es el hecho de que la interfaz web de Superset permite a los usuarios conectarse a la base de datos de metadatos. La raíz de muchas de las vulnerabilidades en esta publicación es el hecho de que la interfaz web Superset permite a los usuarios conectarse a la base de datos de metadatos».