computer-5110519_1280.jpg

Milhares de servidores Apache Superset expostos a ataques RCE

Da Redação
27/04/2023

Milhares de servidores Apache Superset estão vulneráveis a bypass de autenticação e execução remota de código (RCE), o que abre brecha para que invasores acessem e modifiquem dados, coletem credenciais e executem comandos.

O Apache Superset é uma ferramenta de visualização e exploração de dados de código aberto desenvolvida inicialmente para o Airbnb antes de se tornar um projeto de alto nível da Apache Software Foundation em 2021.

De acordo com um novo relatório da Horizon3, o Superset usou uma chave secreta Flask padrão para assinar cookies de sessão de autenticação. Como resultado, invasores podem usar essa chave padrão para forjar cookies de sessão que permitem que eles façam login com privilégios de administrador em servidores que não alteraram a chave.

Embora a documentação do Apache diga aos administradores para alterar as chaves secretas, a Horizon3 diz que essa configuração padrão perigosa é atualmente detectável em cerca de 2 mil servidores expostos à internet pertencentes a universidades, corporações de portes variados, organizações governamentais e outras.

A chave secreta do Flask padrão amplamente usada é conhecida pelos invasores que podem usar flask-unsign e forjar seus próprios cookies para obter acesso de administrador no destino, acessando bancos de dados conectados ou executando instruções SQL arbitrárias no servidor de aplicativos. “Não estamos divulgando nenhum método de exploração neste momento, embora pensemos que será fácil para os invasores interessados descobrirem”, alerta Horizon3.

Veja isso
Apache lança segunda correção para o Log4J-2
Bug em servidor web Apache pode expor dados confidenciais

A falha foi descoberta pela equipe da empresa em outubro de 2021 e relatada à equipe Apache Security. Em janeiro do ano seguinte, desenvolvedores de software lançaram a versão 1.4.1, que alterou o padrão ‘SECRET_KEY’ para uma nova string, e um aviso foi adicionado aos logs quando a string padrão foi detectada na inicialização. Entretanto, a Horizon3 descobriu que cerca de 2.124 (67% do total) estavam mal configurados e contatou a Apache novamente e levantou as questões.

Em fevereiro deste ano, os pesquisadores começaram a enviar avisos às organizações sobre a necessidade de alterar sua configuração. Em abril, a equipe do Superset lançou a versão 2.1, que não permite que o servidor inicialize se estiver usando uma ‘SECRET_KEY’ padrão. Mas novamente, ela não corrige as configurações incorretas existentes, que, de acordo com a Horizon3, ainda estão presentes em mais de 2 mil casos.

Compartilhar: