Des chercheurs ont repéré une grave vulnérabilité non corrigée d'exécution de code à distance livrée par défaut dans Apache Superset. La vulnérabilité existait en raison d'une dangereuse configuration par défaut, rendant des milliers d'instances Superset ouvertes au public.
Apache Superset présente une vulnérabilité de clé par défaut
Selon un billet détaillé de Horizon3.ai, leurs chercheurs ont trouvé au moins 3000 instances d'Apache Superset exposées à l'internet. Et environ 2000 d'entre elles exécutent une dangereuse configuration par défaut. L'exploitation de cette vulnérabilité permet à un attaquant distant d'exécuter des codes malveillants sur l'instance Apache Superset cible.
Apache Superset est un outil open-source d'exploration et de visualisation de données qui est populaire pour sa légèreté, son intuitivité et ses options conviviales pour la gestion des big data.
Plus précisément, la faille existait en raison d'une exposition… SECRET_KEY que le cadre Flask sous-jacent de Superset utilise pour valider les cookies de session des utilisateurs. Bien que cette clé soit générée de façon aléatoire pour des raisons de sécurité, le fait de la rendre vulnérable à l'espionnage ne permet pas d'atteindre l'objectif visé. Par conséquent, un adversaire peut exploiter cette clé exposée SECRET_KEY pour signer un faux cookie de session et se faire passer pour un utilisateur légitime. Et selon les chercheurs, cette opération est triviale.
L'outil flask-unsign, disponible dans le commerce, automatise ce travail : “craquer” un cookie de session pour découvrir s'il a été signé par un cookie faible.
SECRET_KEYet forge ensuite un cookie de session faux mais valide à l'aide d'une méthode connue.SECRET_KEY.
Néanmoins, la responsabilité de cette vulnérabilité ne repose apparemment pas sur Superset puisque le guide de configuration de Superset mentionne déjà la valeur par défaut de l'option SECRET_KEY et demande aux utilisateurs de changer la clé ultérieurement. Cependant, il semble que la plupart des utilisateurs n'aient pas prêté attention à cette exigence, laissant des milliers d'instances exposées au public, selon une recherche Shodan.
Cette vulnérabilité a reçu l'ID CVE CVE-2023-27524.
Apache a corrigé la faille
Suite au rapport de bogue des chercheurs, l'équipe de Superset s'est penchée sur la question et a publié un correctif avec la version 2.1 de Superset. Ce correctif empêche le démarrage du serveur avec la configuration par défaut, obligeant l'utilisateur à modifier la SECRET_KEY. Cependant, les chercheurs ont noté que ce correctif ne fonctionne pas de manière adéquate pour Superset installé avec un fichier docker-compose ou un modèle helm.
Par mesure de sécurité, les chercheurs ont averti de nombreuses organisations exploitant des serveurs Superset vulnérables. Ils ont également publié un script sur GitHub pour que les utilisateurs puissent vérifier si la configuration est vulnérable.
Fais-nous part de tes réflexions dans les commentaires.
