Aggiornamenti recenti Luglio 26th, 2024 2:16 PM
Apr 26, 2023 Dario Orlandi Minacce, News, RSS, Vulnerabilità 0
Gli sviluppatori del software di visualizzazione dei dati open source Apache Superset hanno rilasciato un aggiornamento per modificare una configurazione predefinita non sicura che potrebbe portare all’esecuzione di codice remoto.
La vulnerabilità è catalogata con il codice CVE-2023-27524 e mostra un indice di pericolosità molto alto (CVSS 8,9); coinvolge le versioni di Superset fino alla 2.0.1 compresa e riguarda l’uso di una SECRET_KEY predefinita che potrebbe essere sfruttata per accedere a risorse non autorizzate nelle installazioni esposte a Internet.
Fonte: Horizon3.ai
Il problema è stato scoperto da Horizon3.ai, che lo ha descritto come una pericolosa configurazione predefinita che consente a un utente malintenzionato non autorizzato di eseguire codice remoto, raccogliere credenziali e compromettere i dati.
Il difetto non ha alcun impatto sulle istanze Superset che hanno modificato il valore predefinito per la configurazione SECRET_KEY utilizzando una stringa casuale più sicura.
Tuttavia, la società di sicurezza ha scoperto che 918 dei 1.288 server accessibili al pubblico utilizzavano ancora la configurazione predefinita nel mese di ottobre 2021, quando la chiave “segreta” predefinita era \x02\x01thisismyscretkey\x01\x02\\e\\y\\y\\\h.
Un attaccante che conosce la chiave segreta predefinita potrebbe accedere ai server come amministratore falsificando un cookie di sessione, per poi assumere il controllo dei sistemi.
Per risolvere il problema, gli sviluppatori del progetto hanno implementato una prima correzione l’11 gennaio 2022, modificando il valore SECRET_KEY in “CHANGE_ME_TO_A_COMPLEX_RANDOM_SECRET” e aggiungendo istruzioni per modificarlo con una chiave personalizzata.
Inoltre, Horizon3.ai ha dichiarato di aver trovato altre due configurazioni SECRET_KEY con valori predefiniti “USE_YOUR_OWN_SECURE_RANDOM_KEY” e “thisISaSECRET_1234”.
Fonte: Horizon3.ai
Un’ulteriore verifica, effettuata nel febbraio di quest’anno, ha rivelato che 2.124 delle 3.176 istanze di Superset analizzate utilizzavano una delle chiavi predefinite; il problema riguardava aziende grandi e piccole, agenzie governative e università.
In risposta alla segnalazione, il team di sicurezza Apache ha rilasciato un nuovo aggiornamento (versione 2.1) il 5 aprile 2023 per colmare la falla di sicurezza, impedendo l’avvio del server se configurato con la SECRET_KEY predefinita.
L’aggiornamento non è però infallibile in quanto alcuni utenti potrebbero eseguire involontariamente Superset con un SECRET_KEY predefinito diverso, se utilizzano un file docker-compose o un modello helm.
Come se non bastasse, alcune configurazioni impostano admin/admin come credenziali predefinite per l’utente amministratore. Horizon3.ai ha reso disponibile uno script Python per verificare se le istanze Superset sono suscettibili al problema.
Naveen Sunkavally, Chief Architect di Horizon3.ai, ha commentato: “È comunemente accettato che gli utenti non leggano la documentazione e le applicazioni dovrebbero essere progettate per forzare gli utenti lungo un percorso in cui non hanno altra scelta che essere sicuri per impostazione predefinita”.
Lug 25, 2024 0
Lug 25, 2024 0
Lug 18, 2024 0
Lug 17, 2024 0
Lug 26, 2024 0
Lug 26, 2024 0
Lug 24, 2024 0
Lug 24, 2024 0
Lug 26, 2024 0
Parigi è al centro dell’attenzione mondiale per le...Lug 24, 2024 0
Il 19 luglio 2024 è una data che rimarrà impressa per...Lug 24, 2024 0
Con l’obiettivo di assicurare un adeguato livello di...Lug 23, 2024 0
Le password sono ormai universalmente riconosciute come un...Lug 23, 2024 0
Sembra un numero fin troppo elevato, ma è tutto vero:...Mag 21, 2024 0
Una delle sfide principali delle aziende distribuite sul...Mag 08, 2024 0
L’ultimo non è stato un buon anno per Microsoft:...Mag 04, 2018 0
E se vi dicessimo che la saga di Star Wars ...Nov 14, 2016 2
Abbiamo rubato al blog di Kaspersky un vecchio pezzo di...Nov 08, 2016 2
Il numero uno degli scacchi mondiali Magnus Carlsen ha...Lug 26, 2024 0
Parigi è al centro dell’attenzione mondiale per le...Lug 26, 2024 0
Tanti videogiocatori si affidano ai cheat per avere più...Lug 25, 2024 0
I ricercatori di ESET hanno scoperto EvilVideo, una...Lug 25, 2024 0
Daggerfly, gruppo di cybercriminali cinesi conosciuto anche...Lug 24, 2024 0
Il 19 luglio 2024 è una data che rimarrà impressa...