Skip to content
Teknomers Noticias

Teknomers Noticias

Deporte-Comida-Finanzas-Revista-Cultura-Entretenimiento-Tecnologia

Primary Menu
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Light/Dark Button
  • Home
  • Tecnología
  • Vulnerabilidad de Apache Superset: la configuración predeterminada insegura expone los servidores a ataques RCE
  • Tecnología

Vulnerabilidad de Apache Superset: la configuración predeterminada insegura expone los servidores a ataques RCE

teknomers 26 de Nisan de 2023 (Last updated: 26 de Nisan de 2023) 4 minutes read
Vulnerabilidad de Apache Superset: la configuración predeterminada insegura expone los


26 de abril de 2023Ravie LakshmanánSeguridad/vulnerabilidad del servidor

Los mantenedores de la Superconjunto Apache El software de visualización de datos de código abierto ha lanzado correcciones para tapar una configuración predeterminada insegura que podría conducir a la ejecución remota de código.

La vulnerabilidad, rastreada como CVE-2023-27524 (puntuación CVSS: 8.9), afecta a las versiones hasta la 2.0.1 inclusive y se relaciona con el uso de una SECRET_KEY predeterminada de la que los atacantes podrían abusar para autenticar y acceder a recursos no autorizados en instalaciones expuestas a Internet.

Naveen Sunkavally, el arquitecto jefe de Horizon3.ai, describió el problema como “una configuración predeterminada peligrosa en Apache Superset que permite a un atacante sin autenticación obtener la ejecución remota de código, recopilar credenciales y comprometer datos”.

Vale la pena señalar que la falla no afecta a las instancias de Superset que han cambiado el valor predeterminado para la configuración de SECRET_KEY a una cadena aleatoria criptográficamente más segura.

La empresa de seguridad cibernética, que descubrió que SECRET_KEY tiene el valor predeterminado “x02x01thisismyscretkeyx01x02\e\y\y\h” en el momento de la instalación, dijo que 918 de los 1288 servidores de acceso público usaban la configuración predeterminada en octubre de 2021.

Un atacante que tuviera conocimiento de la clave secreta podría iniciar sesión en estos servidores como administrador falsificando una cookie de sesión y tomando el control de los sistemas.

El 11 de enero de 2022, los mantenedores del proyecto intentó para rectificar el problema rotando el valor SECRET_KEY a “CHANGE_ME_TO_A_COMPLEX_RANDOM_SECRET” en el código de Python junto con instrucciones para el usuario para anularlo.

Vulnerabilidad de superconjunto de Apache

Horizon3.ai dijo que además encontró dos configuraciones adicionales de SECRET_KEY a las que se les asignaron los valores predeterminados “USAR_TU_PROPIA_CLAVE_SECURA_ALEATORIA” y “thisISaSECRET_1234.”

Una búsqueda ampliada realizada en febrero de 2023 con estas cuatro claves descubrió 3176 instancias, de las cuales 2124 usaban una de las claves predeterminadas. Algunos de los afectados incluyen grandes corporaciones, pequeñas empresas, agencias gubernamentales y universidades.

Luego de la divulgación responsable al equipo de seguridad de Apache por segunda vez, una nueva actualización (versión 2.1) se lanzó el 5 de abril de 2023 para tapar el agujero de seguridad al evitar que el servidor se inicie por completo si está configurado con la SECRET_KEY predeterminada.

PRÓXIMO SEMINARIO WEB

Zero Trust + Deception: ¡Aprende a ser más astuto que los atacantes!

Descubra cómo Deception puede detectar amenazas avanzadas, detener el movimiento lateral y mejorar su estrategia Zero Trust. ¡Únase a nuestro seminario web perspicaz!

Guardar mi asiento!

“Sin embargo, esta solución no es infalible, ya que todavía es posible ejecutar Superset con una SECRET_KEY predeterminada si se instala a través de un archivo docker-compose o una plantilla de timón”, Sunkavally dicho.

“El archivo docker-compose contiene una nueva SECRET_KEY predeterminada de TEST_NON_DEV_SECRET con la que sospechamos que algunos usuarios ejecutarán Superset sin saberlo. Algunas configuraciones también establecen admin/admin como la credencial predeterminada para el usuario administrador”.

Horizon3.ai también ha puesto a disposición un secuencia de comandos de Python que se puede usar para determinar si las instancias de Superset son susceptibles a la falla.

“Es comúnmente aceptado que los usuarios no leen la documentación y las aplicaciones deben diseñarse para obligar a los usuarios a seguir un camino en el que no tienen más remedio que estar seguros de forma predeterminada”, concluyó Sunkavally. “El mejor enfoque es quitarles la elección a los usuarios y exigirles que tomen medidas deliberadas para ser inseguros a propósito”.

¿Encontraste este artículo interesante? Siga con nosotros Gorjeo  y LinkedIn para leer más contenido exclusivo que publicamos.





ttn-es-57

About the Author

teknomers

Administrator

Visit Website View All Posts

Post navigation

Previous: “Hola, este es Mike. Te voy a violar a tu hija”: veinteañeros dan el susto de sus vidas a sesenta familias con terror telefónico
Next: Inusual y deseable, como el más raro de los arbustos. Para atraparlos, JLo y Blake Lively

Related Stories

El rastreador de Samsung tiene un descuento XXL del 60
  • Tecnología

El rastreador de Samsung tiene un descuento XXL del 60 % en Amazon durante las rebajas

teknomers 16 de Temmuz de 2026
Samsung Galaxy Z Fold 8 y Fold 8 Ultra: se
  • Tecnología

Samsung Galaxy Z Fold 8 y Fold 8 Ultra: se filtran las especificaciones completas

teknomers 16 de Temmuz de 2026
Uber construye un imperio de la entrega de comida al
  • Tecnología

Uber construye un imperio de la entrega de comida al adquirir a precio de oro un gran rival europeo

teknomers 16 de Temmuz de 2026

You May Have Missed

  • General

Lecciones de vida sobre cómo convertir el fracaso en éxito: proverbio japonés del día: ‘El fracaso es la base de…’ – este dicho japonés enseña lecciones motivacionales sobre el éxito, cómo aprender de los errores, cómo los contratiempos pueden ayudarte a fortalecer y por qué fallar hoy puede llevarte a ganar mañana.

teknomers 16 de Temmuz de 2026
  • Deporte

Copa Mundial 2026: La selección de Inglaterra debate las tácticas de Tuchel contra Argentina

teknomers 16 de Temmuz de 2026
  • General

Un agente encargado del teleprompter de Donald Trump sospechado de haber embolsado 100,000 dólares apostando en sus discursos

teknomers 16 de Temmuz de 2026
  • Finanzas

¿Quién es Stephan Tétrault, empresario quebequense, accionista del FC Chambly y ahora propietario de Micromania?

teknomers 16 de Temmuz de 2026
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Copyright © 2026 All rights reserved. | ReviewNews by AF themes.