Certains articles de veille peuvent faire l'objet de traduction automatique.
Les chercheurs ont repéré une grave vulnérabilité d’exécution de code à distance non corrigée fournie par défaut dans Apache Superset. La vulnérabilité existait en raison d’une configuration par défaut dangereuse, rendant des milliers d’instances Superset ouvertes au public.
Apache Superset a une vulnérabilité de clé par défaut
Selon un détail poste d’Horizon3.ai, leurs chercheurs ont trouvé au moins 3000 instances Apache Superset exposées à Internet. Et environ 2000 d’entre eux exécutent une configuration par défaut dangereuse. L’exploitation de cette vulnérabilité permet à un attaquant distant d’exécuter des codes malveillants sur l’instance Apache Superset cible.
Apache Superset est un outil d’exploration et de visualisation de données open source qui est populaire pour sa légèreté, son intuitivité et ses options conviviales pour la gestion du Big Data.
Plus précisément, la faille existait en raison d’un exposé SECRET_KEY
que le framework Flask sous-jacent de Superset utilise pour valider les cookies de session utilisateur. Bien que cette clé soit générée de manière aléatoire pour des raisons de sécurité, la laisser vulnérable à l’espionnage échoue dans son objectif. Par conséquent, un adversaire peut exploiter cette exposition SECRET_KEY
pour signer un faux cookie de session et usurper l’identité d’un utilisateur légitime. Et selon les chercheurs, cela est trivial.
Le prêt-à-porter fiole-unsign l’outil automatise ce travail : « cracker » un cookie de session pour découvrir s’il a été signé par un faible
SECRET_KEY
puis falsifier un cookie de session faux mais valide à l’aide d’unSECRET_KEY
.
Néanmoins, la responsabilité de cette vulnérabilité ne repose apparemment pas sur Superset puisque le guide de configuration de Superset mentionne déjà la valeur par défaut SECRET_KEY
et demande aux utilisateurs de changer la clé plus tard. Cependant, il est apparu que la plupart des utilisateurs n’avaient pas prêté attention à cette exigence, laissant des milliers d’instances exposées au public, selon une recherche Shodan.
Cette vulnérabilité a reçu l’ID CVE CVE-2023-27524.
Apache a corrigé la faille
Suite au rapport de bogue des chercheurs, l’équipe de Superset s’est penchée sur le problème et a publié un correctif avec la version 2.1 de Superset. Ce correctif empêche le démarrage du serveur avec la configuration par défaut, obligeant l’utilisateur à modifier la SECRET_KEY. Cependant, les chercheurs ont noté que ce correctif ne fonctionnait pas correctement pour Superset installé avec un fichier docker-compose ou un modèle helm.
Pour des raisons de sécurité, les chercheurs ont informé de nombreuses organisations exécutant des serveurs Superset vulnérables. De plus, ils ont publié un script sur GitHub pour que les utilisateurs vérifient la configuration vulnérable.
Faites-nous part de vos réflexions dans les commentaires.
Poster un commentaire