Los mantenedores de la Superconjunto Apache<\/a> El software de visualizaci\u00f3n de datos de c\u00f3digo abierto ha lanzado correcciones para tapar una configuraci\u00f3n predeterminada insegura que podr\u00eda conducir a la ejecuci\u00f3n remota de c\u00f3digo.<\/p>\n La vulnerabilidad, rastreada como CVE-2023-27524<\/strong><\/a> (puntuaci\u00f3n CVSS: 8.9), afecta a las versiones hasta la 2.0.1 inclusive y se relaciona con el uso de una SECRET_KEY predeterminada de la que los atacantes podr\u00edan abusar para autenticar y acceder a recursos no autorizados en instalaciones expuestas a Internet.<\/p>\n Naveen Sunkavally, el arquitecto jefe de Horizon3.ai, describi\u00f3 el problema como “una configuraci\u00f3n predeterminada peligrosa en Apache Superset que permite a un atacante sin autenticaci\u00f3n obtener la ejecuci\u00f3n remota de c\u00f3digo, recopilar credenciales y comprometer datos”.<\/p>\n Vale la pena se\u00f1alar que la falla no afecta a las instancias de Superset que han cambiado el valor predeterminado para la configuraci\u00f3n de SECRET_KEY a una cadena aleatoria criptogr\u00e1ficamente m\u00e1s segura.<\/p>\n La empresa de seguridad cibern\u00e9tica, que descubri\u00f3 que SECRET_KEY tiene el valor predeterminado “x02x01thisismyscretkeyx01x02\\e\\y\\y\\h” en el momento de la instalaci\u00f3n, dijo que 918 de los 1288 servidores de acceso p\u00fablico usaban la configuraci\u00f3n predeterminada en octubre de 2021.<\/p>\n Un atacante que tuviera conocimiento de la clave secreta podr\u00eda iniciar sesi\u00f3n en estos servidores como administrador falsificando una cookie de sesi\u00f3n y tomando el control de los sistemas.<\/p>\n El 11 de enero de 2022, los mantenedores del proyecto intent\u00f3<\/a> para rectificar el problema rotando el valor SECRET_KEY a “CHANGE_ME_TO_A_COMPLEX_RANDOM_SECRET” en el c\u00f3digo de Python junto con instrucciones para el usuario<\/a> para anularlo.<\/p>\n Horizon3.ai dijo que adem\u00e1s encontr\u00f3 dos configuraciones adicionales de SECRET_KEY a las que se les asignaron los valores predeterminados “USAR_TU_PROPIA_CLAVE_SECURA_ALEATORIA<\/a>” y “thisISaSECRET_1234<\/a>.”<\/p>\n Una b\u00fasqueda ampliada realizada en febrero de 2023 con estas cuatro claves descubri\u00f3 3176 instancias, de las cuales 2124 usaban una de las claves predeterminadas. Algunos de los afectados incluyen grandes corporaciones, peque\u00f1as empresas, agencias gubernamentales y universidades.<\/p>\n Luego de la divulgaci\u00f3n responsable al equipo de seguridad de Apache por segunda vez, una nueva actualizaci\u00f3n (versi\u00f3n 2.1<\/a>) se lanz\u00f3 el 5 de abril de 2023 para tapar el agujero de seguridad al evitar que el servidor se inicie por completo si est\u00e1 configurado con la SECRET_KEY predeterminada.<\/p>\n Zero Trust + Deception: \u00a1Aprende a ser m\u00e1s astuto que los atacantes!<\/p>\n Descubra c\u00f3mo Deception puede detectar amenazas avanzadas, detener el movimiento lateral y mejorar su estrategia Zero Trust. \u00a1\u00danase a nuestro seminario web perspicaz!<\/p>\n Guardar mi asiento!<\/a><\/div>\n “Sin embargo, esta soluci\u00f3n no es infalible, ya que todav\u00eda es posible ejecutar Superset con una SECRET_KEY predeterminada si se instala a trav\u00e9s de un archivo docker-compose o una plantilla de tim\u00f3n”, Sunkavally dicho<\/a>.<\/p>\n “El archivo docker-compose contiene una nueva SECRET_KEY predeterminada de TEST_NON_DEV_SECRET con la que sospechamos que algunos usuarios ejecutar\u00e1n Superset sin saberlo. Algunas configuraciones tambi\u00e9n establecen admin\/admin como la credencial predeterminada para el usuario administrador”.<\/p>\n![\"Vulnerabilidad](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/04\/1682505667_919_Vulnerabilidad-de-Apache-Superset-la-configuracion-predeterminada-insegura-expone-los.png\" "\\"Vulnerabilidad")
<\/div>\n