Потеря доступа и данных ждёт пользователей старых версий Apache SuperSet

Компания Apache выпустила обновления , закрывающие две новые уязвимости в популярной аналитической платформе SuperSet. Эксплуатация этих уязвимостей ( CVE-2023-39265 и CVE-2023-37941 ) позволяет злоумышленнику получить удалённый доступ и контроль над системой.

Обновление до версии 2.1.1 также исправляет отдельную проблему с некорректными правами доступа к REST API (CVE-2023-36388), которая давала возможность пользователям с низкими привилегиями проводить атаки типа SSRF.

По словам экспертов безопасности из компании Horizon3, платформа SuperSet изначально разработана так, чтобы предоставлять привилегированным пользователям доступ к произвольным базам данных и возможность выполнять SQL-запросы. Если же злоумышленнику удастся подключиться к метаданным самого SuperSet, он сможет получить доступ к конфигурации и учётным данным, а также выполнить произвольный код.

уязвимость CVE-2023-39265 связана с обходом проверки URI при подключении к базе метаданных SQLite, что и позволяет выполнять произвольные операции с данными. Также с этой уязвимостью связывают отсутствие проверки при импорте информации о подключении к SQLite из файла, что может быть использовано злоумышленниками для импорта вредоносных файлов.

CVE-2023-37941 позволяет внедрить произвольную полезную нагрузку в хранилище метаданных и выполнить её удалённо. Эта уязвимость связана с использованием библиотеки «pickle» для сериализации данных. Злоумышленник, получивший доступ к записи в базу метаданных, может внедрить вредоносный код, который будет десериализован и выполнен на сервере.

Среди других исправленных в последней версии SuperSet недостатков:

• уязвимость для чтения произвольных файлов MySQL, которая может быть использована для получения учётных данных из базы;
• злоупотребление командой «load_examples» для получения URI базы метаданных из пользовательского интерфейса и изменения хранящихся в ней данных;
• использование учётных данных по умолчанию для доступа к базе данных метаданных в некоторых конфигурациях SuperSet;
• утечка учётных данных в виде открытого текста при запросе API «/api/v1/database» от имени привилегированного пользователя.

Эксперты рекомендуют генерировать уникальный «SECRET_KEY» для каждой конфигурации SuperSet, а не использовать значения по умолчанию. Это позволит избежать компрометации системы злоумышленниками.

По данным Horizon3, более 2000 из примерно 4000 открытых серверов SuperSet по-прежнему используют ключи по умолчанию. Около 70 систем имеют угадываемые ключи вроде «superset» или «123456».

Специалисты считают, что корень многих проблем кроется в том, что веб-интерфейс SuperSet изначально разрешает подключаться к базе метаданных. Это открывает возможности для атак, позволяя манипулировать конфигурацией и данными.

Разработчики обещают в дальнейшем ограничить доступ к метаданным и реализовать автоматическую генерацию ключей. Пользователям настоятельно рекомендуется установить последние обновления и проверить настройки безопасности системы.

Уязвимости в популярных Open Source решениях, таких как SuperSet, могут создавать серьёзные риски для безопасности организаций. Эксперты призывают следить за выходом обновлений и своевременно их устанавливать. Также важно грамотно настраивать систему и не использовать учётные данные и ключи по умолчанию.