• Votre panier est vide.

  • LOGIN

Apache Superset livré avec une vulnérabilité RCE non corrigée


Certains articles de veille peuvent faire l'objet de traduction automatique.


Les chercheurs ont repéré une grave vulnérabilité d’exécution de code à distance non corrigée fournie par défaut dans Apache Superset. La vulnérabilité existait en raison d’une configuration par défaut dangereuse, rendant des milliers d’instances Superset ouvertes au public.

Apache Superset a une vulnérabilité de clé par défaut

Selon un détail poste d’Horizon3.ai, leurs chercheurs ont trouvé au moins 3000 instances Apache Superset exposées à Internet. Et environ 2000 d’entre eux exécutent une configuration par défaut dangereuse. L’exploitation de cette vulnérabilité permet à un attaquant distant d’exécuter des codes malveillants sur l’instance Apache Superset cible.

Apache Superset est un outil d’exploration et de visualisation de données open source qui est populaire pour sa légèreté, son intuitivité et ses options conviviales pour la gestion du Big Data.

Plus précisément, la faille existait en raison d’un exposé SECRET_KEY que le framework Flask sous-jacent de Superset utilise pour valider les cookies de session utilisateur. Bien que cette clé soit générée de manière aléatoire pour des raisons de sécurité, la laisser vulnérable à l’espionnage échoue dans son objectif. Par conséquent, un adversaire peut exploiter cette exposition SECRET_KEY pour signer un faux cookie de session et usurper l’identité d’un utilisateur légitime. Et selon les chercheurs, cela est trivial.

Le prêt-à-porter fiole-unsign l’outil automatise ce travail : « cracker » un cookie de session pour découvrir s’il a été signé par un faible SECRET_KEYpuis falsifier un cookie de session faux mais valide à l’aide d’un SECRET_KEY.

Néanmoins, la responsabilité de cette vulnérabilité ne repose apparemment pas sur Superset puisque le guide de configuration de Superset mentionne déjà la valeur par défaut SECRET_KEY et demande aux utilisateurs de changer la clé plus tard. Cependant, il est apparu que la plupart des utilisateurs n’avaient pas prêté attention à cette exigence, laissant des milliers d’instances exposées au public, selon une recherche Shodan.

Cette vulnérabilité a reçu l’ID CVE CVE-2023-27524.

Apache a corrigé la faille

Suite au rapport de bogue des chercheurs, l’équipe de Superset s’est penchée sur le problème et a publié un correctif avec la version 2.1 de Superset. Ce correctif empêche le démarrage du serveur avec la configuration par défaut, obligeant l’utilisateur à modifier la SECRET_KEY. Cependant, les chercheurs ont noté que ce correctif ne fonctionnait pas correctement pour Superset installé avec un fichier docker-compose ou un modèle helm.

Pour des raisons de sécurité, les chercheurs ont informé de nombreuses organisations exécutant des serveurs Superset vulnérables. De plus, ils ont publié un script sur GitHub pour que les utilisateurs vérifient la configuration vulnérable.

Faites-nous part de vos réflexions dans les commentaires.

Voir aussi :

avril 29, 2023

Poster un commentaire

Please Login to comment

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

Culte du code | 2015-2022  (Vecteurs par Freepik, Parallax par fullvector)