Des correctifs ont été publiés pour corriger deux nouvelles vulnérabilités de sécurité dans Surensemble Apache qui pourrait être exploité par un attaquant pour obtenir l’exécution de code à distance sur les systèmes affectés.
La mise à jour (version 2.1.1) se branche CVE-2023-39265 et CVE-2023-37941qui permettent de mener des actions néfastes une fois qu’un mauvais acteur est capable de prendre le contrôle de la base de données de métadonnées de Superset.
En dehors de ces faiblesses, la dernière version de Superset corrige également un autre problème d’autorisation inappropriée de l’API REST (CVE-2023-36388) qui permet aux utilisateurs disposant de faibles privilèges d’effectuer une falsification de requêtes côté serveur (SSRF) attaques.
« De par sa conception, le superset permet aux utilisateurs privilégiés de se connecter à des bases de données arbitraires et d’exécuter des requêtes SQL arbitraires sur ces bases de données à l’aide de la puissante interface SQLLab », Naveen Sunkavally d’Horizon3.ai. dit dans une note technique.
« Si Superset peut être amené à se connecter à sa propre base de données de métadonnées, un attaquant peut directement lire ou écrire la configuration de l’application via SQLLab. Cela conduit à la collecte d’informations d’identification et à l’exécution de code à distance. »
CVE-2023-39265 concerne un cas de contournement d’URI lors de la connexion au Base de données SQLite utilisé pour le métastore, permettant à un attaquant d’exécuter des commandes de manipulation de données.
Le manque de validation lors de l’importation des informations de connexion à la base de données SQLite à partir d’un fichier est également suivi dans le cadre du même identifiant CVE, ce qui pourrait être utilisé de manière abusive pour importer un fichier d’archive ZIP conçu de manière malveillante.
« Les versions Superset de 1.5 à 2.1.0 utilisent le package pickle de Python pour stocker certaines données de configuration », a déclaré Sunkavally à propos de CVE-2023-37941.
« Un attaquant disposant d’un accès en écriture à la base de données de métadonnées peut insérer une charge utile pickle arbitraire dans le magasin, puis déclencher sa désérialisation, conduisant à l’exécution de code à distance. »
Certaines des autres failles qui ont été corrigées dans la dernière version sont ci-dessous :
- Une vulnérabilité de lecture de fichier arbitraire MySQL qui pourrait être exploitée pour obtenir des informations d’identification sur la base de données de métadonnées
- L’abus du superset commande load_examples pour obtenir l’URI de la base de données de métadonnées à partir de l’interface utilisateur et modifier les données qui y sont stockées
- L’utilisation d’informations d’identification par défaut pour accéder à la base de données de métadonnées dans certaines installations de Superset
- La fuite des informations d’identification de la base de données en texte brut lors de l’interrogation de l’API /api/v1/database en tant qu’utilisateur privilégié (CVE-2023-30776corrigé dans 2.1.0)
La divulgation intervient un peu plus de quatre mois après que la société a révélé une faille de haute gravité dans le même produit (CVE-2023-27524, score CVSS : 8,9) qui pourrait permettre à des attaquants non autorisés d’accéder à l’administrateur des serveurs et d’exécuter du code arbitraire.
Bien trop vulnérable : découvrir l’état de la surface d’attaque d’identité
MFA atteinte ? PAM ? Protection du compte de service ? Découvrez à quel point votre organisation est réellement équipée contre les menaces d’identité
Le problème résulte de l’utilisation d’une SECRET_KEY par défaut qui pourrait être utilisée de manière abusive par des attaquants pour authentifier et accéder à des ressources non autorisées sur des installations exposées à Internet.
Depuis la divulgation publique de la faille en avril 2023, Horizon3.ai a déclaré que 2 076 des 3 842 serveurs Superset utilisent toujours une SECRET_KEY par défaut, avec environ 72 instances utilisant une SECRET_KEY trivialement devinable comme superset, SUPERSET_SECRET_KEY, 1234567890, admin, changeme, thisisasecretkey, et votre_secret_key_here.
« L’utilisateur est responsable de la configuration du Flask SECRET_KEY, ce qui conduit invariablement certains utilisateurs à définir des clés faibles », a déclaré Sunkavally, exhortant les responsables à ajouter la prise en charge de la génération automatique de la clé.
« À l’origine de nombreuses vulnérabilités […] est le fait que l’interface Web Superset permet aux utilisateurs de se connecter à la base de données de métadonnées. À l’origine de nombreuses vulnérabilités décrites dans cet article se trouve le fait que l’interface Web Superset permet aux utilisateurs de se connecter à la base de données de métadonnées. »