Apache Superset 会话验证漏洞可导致攻击者访问未授权资源
编译:代码卫士
Apache Superset 基于 Python 的Flash 框架,默认配置公开已知的密钥 SECRET_KEY = '\2\1thisismyscretkey\1\2\e\y\y\h'。
安全公司 Horizon3.ai 发布安全公告解释称,当用户登录 Superset 实例时,该 web 应用将带有用户标识符的会话 cookie 发回给访客的 web 浏览器中。Horizon3.ai 公司的首席架构师 Naveen Sunkavally 指出,“该 web 应用通过 SECRET_KEY 签名该 cookie,而该值是随机生成的且一般存储在本地配置文件中。”如果攻击者了解 SECRET_KEY 的值,则可生成并签名 cookie,从而以应用管理员身份进行认证。通过名为 flask-unsign 的工具检查 Superset 是否使用默认密钥非常容易。
Sunkavally 指出,约三分之二的 Superset 用户在设置 Superset 时并未生成新的密钥:截止2021年10月11日,该应用约3000个实例被暴露在互联网上,其中2000个实例依赖的是默认的密钥。
Apache 安全团队在第二天回复,2022年1月11日做出了一些变更,并设立了新的默认密钥:"CHANGE_ME_TO_A_COMPLEX_RANDOM_SECRET"。但这次该 app 中包含了检查该新的默认密钥是否变更的功能。如未变更,该 app 将在日志文件中发出提醒并给出如何生成安全密钥的指南。然而,该提醒是否能够引起注意,则取决于用户。
就在这次变更过去了一年多的时间后,2023年2月9日,Horizon3.ai 公司再次检查有多少 Superset 实例配置了公开的默认密钥。这次他们还将 Shodan.io 搜索扩展到四种不同的默认密钥中:原始密钥、新密钥以及来自部署模板以及来自文档的密钥。
结果发现,情况没有太多改变。在3176个Superset 实例中,2124个(约67%)使用了其中一种默认密钥。
于是,Horizon.ai 团队再次联系 Apache 安全团队。两周后即2023年2月24日,该项目维护人员发布更新作为4月5日2.1版本发布的一部分,“当发现默认 SECRET_KEY时,应采取更坚决的措施。”该变更的目的是让 app 不使用默认密钥。
Sunkavally 指出,“通过这次更新,很多 Superset 的新用户将不再无意识地中招。”他提醒称,如果该软件是通过 docker-compose 文件或 helm 模板安装的话,则仍然可能导致使用不安全的 Superset 版本。他提到,“ docker-compose 文件中包含 TEST_NON_DEV_SECRET 的新的默认 SECRET_KEY,我们认为某些用户将不知不觉地运行。某些配置还将 admin/admin 设置为管理员用户的默认凭据。”
该漏洞的编号为CVE-2023-27524。Sunkavally 表示,受影响的用户可通过依赖于 flask-unsign 的脚本查看自己的服务器中含有默认密钥。所识别出的2000多个易受攻击的 Superset 实例由大小规模的企业、政府机构和大学运营。Sunkavally 还提到这些组织机构在收到通知后修复了该漏洞。
Sunkavally 认为,这一事件表明用户未阅读文档且未阅读日志。他提到,“最佳方式是不要把选择权交给用户,而是要求他们采取安全措施。”
【已复现】Apache Kafka Connect JNDI注入漏洞(CVE-2023-25194)安全风险通告
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。