bakımını yapanlar Apache Süper Kümesi açık kaynak veri görselleştirme yazılımı, uzaktan kod yürütülmesine yol açabilecek güvenli olmayan bir varsayılan yapılandırmayı tıkamak için düzeltmeler yayınladı.
Şu şekilde izlenen güvenlik açığı: CVE-2023-27524 (CVSS puanı: 8.9), 2.0.1’e kadar olan ve dahil olan sürümleri etkiler ve saldırganlar tarafından internete açık kurulumlarda yetkisiz kaynaklara erişmek ve kimlik doğrulamak için kötüye kullanılabilecek bir varsayılan SECRET_KEY kullanımıyla ilgilidir.
Horizon3.ai’nin baş mimarı Naveen Sunkavally, sorunu “Apache Superset’te yetkisiz bir saldırganın uzaktan kod yürütmesine, kimlik bilgilerini toplamasına ve verileri tehlikeye atmasına izin veren tehlikeli bir varsayılan yapılandırma” olarak tanımladı.
Kusurun, SECRET_KEY yapılandırması için varsayılan değeri kriptografik olarak daha güvenli bir rasgele dizeye değiştiren Superset örneklerini etkilemediğini belirtmekte fayda var.
Kurulum sırasında SECRET_KEY’in varsayılan olarak “x02x01thisismyscretkeyx01x02\e\y\y\h” değerine ayarlandığını bulan siber güvenlik firması, 1.288 genel erişimli sunucudan 918’inin bu olduğunu söyledi. Ekim 2021’de varsayılan yapılandırmayı kullanıyordu.
Gizli anahtarı bilen bir saldırgan, sahte bir oturum tanımlama bilgisi oluşturarak bu sunucularda yönetici olarak oturum açabilir ve sistemlerin kontrolünü ele geçirebilir.
11 Ocak 2022’de proje sahipleri denendi Python kodundaki SECRET_KEY değerini “CHANGE_ME_TO_A_COMPLEX_RANDOM_SECRET” ile birlikte döndürerek sorunu düzeltmek için kullanıcı talimatları geçersiz kılmak için.
Ama orada bitmedi. Horizon3.ai ayrıca varsayılan değerlere atanan iki ek SECRET_KEY yapılandırması bulduğunu söyledi “KULLANIM_YOUR_OWN_SECURE_RANDOM_KEY” Ve “thisISaSECRET_1234.”
Şubat 2023’te bu dört anahtarla gerçekleştirilen genişletilmiş bir arama, 2.124’ünün varsayılan anahtarlardan birini kullandığı 3.176 örnek ortaya çıkardı. Etkilenenlerden bazıları büyük şirketler, küçük şirketler, devlet kurumları ve üniversitelerdir.
Apache güvenlik ekibine ikinci kez sorumlulukla ifşa edilmesinin ardından, yeni bir güncelleme (sürüm 2.1), varsayılan SECRET_KEY ile yapılandırılmışsa sunucunun tamamen başlatılmasını engelleyerek güvenlik açığını kapatmak için 5 Nisan 2023’te yayınlandı.
Gerçek Zamanlı Koruma ile Fidye Yazılımını Durdurmayı Öğrenin
Web seminerimize katılın ve gerçek zamanlı MFA ve hizmet hesabı koruması ile fidye yazılımı saldırılarını nasıl durduracağınızı öğrenin.
Sunkavally, “Yine de, bir docker-compose dosyası veya bir dümen şablonu aracılığıyla yüklendiyse, Superset’i varsayılan bir SECRET_KEY ile çalıştırmak hala mümkün olduğundan, bu düzeltme kusursuz değildir.” söz konusu.
“Docker-compose dosyası, bazı kullanıcıların istemeden Süperset’i birlikte çalıştıracağından şüphelendiğimiz, TEST_NON_DEV_SECRET’in yeni bir varsayılan SECRET_KEY’ini içeriyor. Bazı yapılandırmalar ayrıca admin/admin’i yönetici kullanıcı için varsayılan kimlik bilgisi olarak ayarlar.”
Horizon3.ai ayrıca bir Python betiği Superset örneklerinin kusura duyarlı olup olmadığını belirlemek için kullanılabilir.
Sunkavally, “Kullanıcıların belgeleri okumadığı ve uygulamaların, kullanıcıları varsayılan olarak güvenli olmaktan başka çarelerinin olmadığı bir yola zorlamak için tasarlanması gerektiği genel olarak kabul edilir.” “En iyi yaklaşım, seçimi kullanıcıların elinden almak ve kasıtlı olarak güvensiz olmaları için kasıtlı eylemlerde bulunmalarını istemektir.”
