Исследователи из компании Horizon3 обратили внимание на проблемы с безопасностью в большинстве установок платформы анализа и визуализации данных Apache Superset. На 2124 из 3176 изученных публичных серверов с Apache Superset выявлено использование типового ключа шифрования, указанного по умолчанию в примере файла конфигурации. Данный ключ используется в Python-библиотеке Flask для генерации сессионных Cookie, что позволяет знающему ключ атакующему сформировать фиктивные параметры сеанса, подключиться к web-интерфейсу Apache Superset и загрузить данные из привязанных БД или организовать выполнение кода с правами Apache Superset.
Интересно, что изначально исследователи сообщили разработчикам о проблеме ещё в 2021 году, после чего в выпуске Apache Superset 1.5, сформированном в начале 2022 года, значение параметра SECRET_KEY было заменено на строку “CHANGE_ME_TO_A_COMPLEX_RANDOM_SECRET”, в код была добавлена проверка, при наличии данного значения выводящая в лог предупреждение.
В феврале этого года исследователи решили повторить сканирование уязвимых систем и столкнулись с тем, что на предупреждение мало кто обращает внимание и 67% серверов Apache Superset по-прежнему продолжают применять ключи из примеров конфигурации, шаблонов развёртывания или документации. При этом среди организаций, использующих ключи по умолчанию, оказались некоторые крупные компании, университеты и госучреждения.
Указание рабочего ключа в примере конфигурации теперь воспринято как уязвимость (CVE-2023-27524), которая устранена в выпуске Apache Superset 2.1 через вывод ошибки, блокирующей запуск платформы. Для проверки наличия уязвимости по сети предложен специальный скрипт.