Se han lanzado parches para abordar dos nuevas vulnerabilidades de seguridad en Apache Superset que podrían ser aprovechadas por un atacante para obtener la ejecución remota de código en los sistemas afectados.
La actualización (versión 2.1.1) incluye CVE-2023-39265 y CVE-2023-37941 , que permiten llevar a cabo acciones nefastas una vez que un mal actor puede obtener el control de la base de datos de metadatos de Superset.
Aparte de estas debilidades, la última versión de Superset también corrige un problema de permisos de API REST inadecuado ( CVE-2023-36388 ) que permite a usuarios con pocos privilegios llevar a cabo ataques de falsificación de solicitudes del lado del servidor ( SSRF ).
«Superset por diseño permite a los usuarios privilegiados conectarse a bases de datos arbitrarias y ejecutar consultas SQL arbitrarias contra esas bases de datos utilizando la poderosa interfaz SQLLab», dijo Naveen Sunkavally de Horizon3.ai en un artículo técnico.
«Si se puede engañar a Superset para que se conecte a su propia base de datos de metadatos, un atacante puede leer o escribir directamente la configuración de la aplicación a través de SQLLab. Esto conduce a la recolección de credenciales y la ejecución remota de código».
CVE-2023-39265 se relaciona con un caso de omisión de URI al conectarse a la base de datos SQLite utilizada para el metastore, lo que permite a un atacante ejecutar comandos de manipulación de datos.
También se rastrea como parte del mismo identificador CVE la falta de validación al importar información de conexión de base de datos SQLite desde un archivo, lo que podría usarse para importar un archivo ZIP creado con fines malintencionados.
«Las versiones Superset de 1.5 a 2.1.0 usan el paquete pickle de Python para almacenar ciertos datos de configuración», dijo Sunkavally sobre CVE-2023-37941.
«Un atacante con acceso de escritura a la base de datos de metadatos puede insertar una carga útil arbitraria en la tienda y luego activar la deserialización de la misma, lo que lleva a la ejecución remota de código».
Algunas de las otras fallas que se han solucionado en la última versión se encuentran a continuación:
- Una vulnerabilidad de lectura de archivos arbitrarios de MySQL que podría explotarse para obtener credenciales para la base de datos de metadatos
- El abuso del comando superset load_examples para obtener el URI de la base de datos de metadatos de la interfaz de usuario y modificar los datos almacenados en ella
- El uso de credenciales predeterminadas para acceder a la base de datos de metadatos en algunas instalaciones de Superset
- La fuga de credenciales de base de datos en texto sin formato al consultar la API /api/v1/database como usuario privilegiado ( CVE-2023-30776 , corregido en 2.1.0)
La divulgación se produce poco más de cuatro meses después de que la compañía revelara una falla de alta gravedad en el mismo producto ( CVE-2023-27524 , puntuación CVSS: 8,9) que podría permitir a atacantes no autorizados obtener acceso de administrador a los servidores y ejecutar código arbitrario.
El problema surge como resultado del uso de una SECRET_KEY predeterminada que los atacantes podrían utilizar para autenticar y acceder a recursos no autorizados en instalaciones expuestas a Internet.
Desde la divulgación pública de la falla en abril de 2023, Horizon3.ai dijo que 2076 de 3842 servidores Superset todavía usan una SECRET_KEY predeterminada, y aproximadamente 72 instancias usan una SECRET_KEY trivialmente adivinable como superset, SUPERSET_SECRET_KEY, 1234567890, admin, changeme, thisisasecretkey, y tu_clave_secreta_aquí.
«El usuario es responsable de configurar Flask SECRET_KEY, lo que invariablemente lleva a que algunos usuarios establezcan claves débiles», dijo Sunkavally, instando a los mantenedores a agregar soporte para generar automáticamente la clave.
«En la raíz de muchas de las vulnerabilidades […] está el hecho de que la interfaz web de Superset permite a los usuarios conectarse a la base de datos de metadatos. En la raíz de muchas de las vulnerabilidades de esta publicación está el hecho de que la interfaz web de Superset permite a los usuarios conectarse a la base de datos de metadatos.»
Fuente y redacción: thehackernews.com