Miles de servidores Apache Superset expuestos a ataques RCE

Apache Superset es vulnerable a la omisión de autenticación y la ejecución remota de código en configuraciones predeterminadas, lo que permite a los atacantes acceder y modificar datos, recopilar credenciales y ejecutar comandos.

Apache Superset es una herramienta de visualización y exploración de datos de código abierto desarrollada inicialmente para Airbnb antes de convertirse en un proyecto de alto nivel en la Apache Software Foundation en 2021.

Según un nuevo informe de Horizon3, Apache Superset utilizó una clave secreta de Flask predeterminada para firmar las cookies de sesión de autenticación. Como resultado, los atacantes pueden usar esta clave predeterminada para falsificar cookies de sesión que les permitan iniciar sesión con privilegios de administrador en servidores que no cambiaron la clave.

Si bien la documentación de Apache les dice a los administradores que cambien las claves secretas, Horizon3 dice que esta peligrosa configuración predeterminada es actualmente detectable en aproximadamente 2,000 servidores expuestos a Internet pertenecientes a universidades, corporaciones de diferentes tamaños, organizaciones gubernamentales y más.


Esta clave secreta de Flask predeterminada ampliamente utilizada es conocida por los atacantes que pueden usar flask-unsign y falsificar sus propias cookies para obtener acceso de administrador en el destino, acceder a bases de datos conectadas o ejecutar sentencias SQL arbitrarias en el servidor de aplicaciones.

"No estamos revelando ningún método de explotación en este momento, aunque creemos que será sencillo para los atacantes interesados resolverlo", advierte Horizon3.

Es importante tener en cuenta que si los administradores han cambiado la clave predeterminada con una desconocida para los atacantes, sus instalaciones no son vulnerables a este ataque.


Descubrimiento e impacto

La falla fue descubierta por el equipo de Horizon3 el 11 de octubre de 2021 e informada al equipo de seguridad de Apache.

El 11 de enero de 2022, los desarrolladores de software lanzaron la versión 1.4.1, que cambió el 'SECRET_KEY' predeterminado a una nueva cadena, y se agregó una advertencia a los registros cuando se detectó la cadena predeterminada en el inicio.


Horizon3 también encontró otras dos claves predeterminadas utilizadas en documentación y plantillas y usó Shodan para buscar instancias usando esas cuatro claves.

En ese momento, Horizon3 descubrió que aproximadamente 2.124 (67% del total) estaban mal configurados.


Horizon3 contactó a Apache nuevamente y planteó los problemas, y en febrero de 2023, los investigadores comenzaron a enviar advertencias a las organizaciones sobre la necesidad de cambiar su configuración.

Finalmente, el 5 de abril de 2023, el equipo de Superset lanzó la versión 2.1, que no permite que el servidor se inicie si está usando un 'SECRET_KEY' predeterminado.


Aunque esta solución drástica evita nuevos despliegues riesgosos, no corrige las configuraciones erróneas existentes, que según Horizon3, todavía están presentes en más de 2.000 casos.

La compañía de seguridad ha compartido un script en GitHub que los administradores de Apache Superset pueden usar para determinar si su instancia es vulnerable a los ataques.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta