Aggiornamenti recenti Giugno 9th, 2026 12:26 PM
partner
News Recenti
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- Infrastrutture Critiche e Geopolitica: è l’Era dell’Antifragilità
- Il gruppo criminale cinese TA4922 adesso punta anche all’Europa
- Il 78% delle aziende ha già subito o sospetta incidenti legati all’IA
- SEO poisoning e chatbot AI dirottati per un malware miner
- Kaspersky: la GenAI mette alla prova il riconoscimento facciale
La configurazione predefinita di Apache Superset è vulnerabile
Gli sviluppatori del software di visualizzazione dei dati open source Apache Superset hanno rilasciato un aggiornamento per modificare una configurazione predefinita non sicura che potrebbe portare all’esecuzione di codice remoto.
La vulnerabilità è catalogata con il codice CVE-2023-27524 e mostra un indice di pericolosità molto alto (CVSS 8,9); coinvolge le versioni di Superset fino alla 2.0.1 compresa e riguarda l’uso di una SECRET_KEY predefinita che potrebbe essere sfruttata per accedere a risorse non autorizzate nelle installazioni esposte a Internet.
Fonte: Horizon3.ai
Il problema è stato scoperto da Horizon3.ai, che lo ha descritto come una pericolosa configurazione predefinita che consente a un utente malintenzionato non autorizzato di eseguire codice remoto, raccogliere credenziali e compromettere i dati.
Impostazioni non sicure
Il difetto non ha alcun impatto sulle istanze Superset che hanno modificato il valore predefinito per la configurazione SECRET_KEY utilizzando una stringa casuale più sicura.
Tuttavia, la società di sicurezza ha scoperto che 918 dei 1.288 server accessibili al pubblico utilizzavano ancora la configurazione predefinita nel mese di ottobre 2021, quando la chiave “segreta” predefinita era \x02\x01thisismyscretkey\x01\x02\\e\\y\\y\\\h.
Un attaccante che conosce la chiave segreta predefinita potrebbe accedere ai server come amministratore falsificando un cookie di sessione, per poi assumere il controllo dei sistemi.
Per risolvere il problema, gli sviluppatori del progetto hanno implementato una prima correzione l’11 gennaio 2022, modificando il valore SECRET_KEY in “CHANGE_ME_TO_A_COMPLEX_RANDOM_SECRET” e aggiungendo istruzioni per modificarlo con una chiave personalizzata.
Inoltre, Horizon3.ai ha dichiarato di aver trovato altre due configurazioni SECRET_KEY con valori predefiniti “USE_YOUR_OWN_SECURE_RANDOM_KEY” e “thisISaSECRET_1234”.
Fonte: Horizon3.ai
Il problema non è risolto
Un’ulteriore verifica, effettuata nel febbraio di quest’anno, ha rivelato che 2.124 delle 3.176 istanze di Superset analizzate utilizzavano una delle chiavi predefinite; il problema riguardava aziende grandi e piccole, agenzie governative e università.
In risposta alla segnalazione, il team di sicurezza Apache ha rilasciato un nuovo aggiornamento (versione 2.1) il 5 aprile 2023 per colmare la falla di sicurezza, impedendo l’avvio del server se configurato con la SECRET_KEY predefinita.
L’aggiornamento non è però infallibile in quanto alcuni utenti potrebbero eseguire involontariamente Superset con un SECRET_KEY predefinito diverso, se utilizzano un file docker-compose o un modello helm.
Come se non bastasse, alcune configurazioni impostano admin/admin come credenziali predefinite per l’utente amministratore. Horizon3.ai ha reso disponibile uno script Python per verificare se le istanze Superset sono suscettibili al problema.
Naveen Sunkavally, Chief Architect di Horizon3.ai, ha commentato: “È comunemente accettato che gli utenti non leggano la documentazione e le applicazioni dovrebbero essere progettate per forzare gli utenti lungo un percorso in cui non hanno altra scelta che essere sicuri per impostazione predefinita”.
Condividi l'articolo
Minacce bot: attacchi in aumento del 102% su base annua
Oltre la metà degli avvisi critici non ha conseguenze in produzione
Articoli correlati
Altro in questa categoria
Approfondimenti
-
Infrastrutture Critiche e Geopolitica: è l’Era... Il nuovo assetto geopolitico mondiale ha messo a nudo una... -
Il 78% delle aziende ha già subito o sospetta incidenti... A leggere il nuovo “2026 Cloud Security Report”... -
Kaspersky: la GenAI mette alla prova il riconoscimento... Un volto reale può essere modificato dall’intelligenza... -
Kaspersky: gli agenti IA cambiano la fiducia aziendale Gli agenti di intelligenza artificiale sono ormai entrati... -
Un dipendente su otto considera accettabile vendere le... Il problema del dipendente “infedele” è vecchio quanto...
Minacce recenti
Off topic
-
L’IA generativa unifica le interfacce di gestione e... Con l’avvento dell’IA generativa... -
Cyberinsurance: misurare il rischio umano può... Negli ultimi anni sempre più aziende stanno sottoscrivendo... -
Il machine learning di Kaspersky aumenta la capacità di... Grazie al machine learning, il Global Research and Analysis... -
I vertici aziendali non sono del tutto pronti alle nuove... Il 2024 è l’anno delle nuove normative di sicurezza:... -
Più della meta delle aziende geo-distribuite ha problemi... Una delle sfide principali delle aziende distribuite sul...
Post recenti
-
Infrastrutture Critiche e Geopolitica: è l’Era... Il nuovo assetto geopolitico mondiale ha messo a nudo
-
Il gruppo criminale cinese TA4922 adesso punta anche... Un gruppo cybercriminale di lingua cinese fino a poco... -
Il 78% delle aziende ha già subito o sospetta incidenti... A leggere il nuovo “2026 Cloud Security Report”...
-
SEO poisoning e chatbot AI dirottati per un malware miner Le campagne di SEO poisoning non sono certo una novità... -
HackerOne taglia drasticamente le ricompense dei bug bounty L’epoca d’oro dei bug bounty potrebbe stare entrando in...
Ransomware: la serie
No posts found.