Aggiornamenti recenti Aprile 23rd, 2026 2:30 PM
partner
News Recenti
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- Reset password: una misura di sicurezza che diventa minaccia
- Kyber annuncia il ransomware “post-quantum”, ma…
- L’App europea di verifica dell’età è stata bucata in due minuti
- Recovery scam: quando la truffa colpisce due volte
- Supply chain: il 69% delle aziende pronto a co-finanziare la sicurezza
La configurazione predefinita di Apache Superset è vulnerabile
Gli sviluppatori del software di visualizzazione dei dati open source Apache Superset hanno rilasciato un aggiornamento per modificare una configurazione predefinita non sicura che potrebbe portare all’esecuzione di codice remoto.
La vulnerabilità è catalogata con il codice CVE-2023-27524 e mostra un indice di pericolosità molto alto (CVSS 8,9); coinvolge le versioni di Superset fino alla 2.0.1 compresa e riguarda l’uso di una SECRET_KEY predefinita che potrebbe essere sfruttata per accedere a risorse non autorizzate nelle installazioni esposte a Internet.
Fonte: Horizon3.ai
Il problema è stato scoperto da Horizon3.ai, che lo ha descritto come una pericolosa configurazione predefinita che consente a un utente malintenzionato non autorizzato di eseguire codice remoto, raccogliere credenziali e compromettere i dati.
Impostazioni non sicure
Il difetto non ha alcun impatto sulle istanze Superset che hanno modificato il valore predefinito per la configurazione SECRET_KEY utilizzando una stringa casuale più sicura.
Tuttavia, la società di sicurezza ha scoperto che 918 dei 1.288 server accessibili al pubblico utilizzavano ancora la configurazione predefinita nel mese di ottobre 2021, quando la chiave “segreta” predefinita era \x02\x01thisismyscretkey\x01\x02\\e\\y\\y\\\h.
Un attaccante che conosce la chiave segreta predefinita potrebbe accedere ai server come amministratore falsificando un cookie di sessione, per poi assumere il controllo dei sistemi.
Per risolvere il problema, gli sviluppatori del progetto hanno implementato una prima correzione l’11 gennaio 2022, modificando il valore SECRET_KEY in “CHANGE_ME_TO_A_COMPLEX_RANDOM_SECRET” e aggiungendo istruzioni per modificarlo con una chiave personalizzata.
Inoltre, Horizon3.ai ha dichiarato di aver trovato altre due configurazioni SECRET_KEY con valori predefiniti “USE_YOUR_OWN_SECURE_RANDOM_KEY” e “thisISaSECRET_1234”.
Fonte: Horizon3.ai
Il problema non è risolto
Un’ulteriore verifica, effettuata nel febbraio di quest’anno, ha rivelato che 2.124 delle 3.176 istanze di Superset analizzate utilizzavano una delle chiavi predefinite; il problema riguardava aziende grandi e piccole, agenzie governative e università.
In risposta alla segnalazione, il team di sicurezza Apache ha rilasciato un nuovo aggiornamento (versione 2.1) il 5 aprile 2023 per colmare la falla di sicurezza, impedendo l’avvio del server se configurato con la SECRET_KEY predefinita.
L’aggiornamento non è però infallibile in quanto alcuni utenti potrebbero eseguire involontariamente Superset con un SECRET_KEY predefinito diverso, se utilizzano un file docker-compose o un modello helm.
Come se non bastasse, alcune configurazioni impostano admin/admin come credenziali predefinite per l’utente amministratore. Horizon3.ai ha reso disponibile uno script Python per verificare se le istanze Superset sono suscettibili al problema.
Naveen Sunkavally, Chief Architect di Horizon3.ai, ha commentato: “È comunemente accettato che gli utenti non leggano la documentazione e le applicazioni dovrebbero essere progettate per forzare gli utenti lungo un percorso in cui non hanno altra scelta che essere sicuri per impostazione predefinita”.
Condividi l'articolo
Minacce bot: attacchi in aumento del 102% su base annua
Oltre la metà degli avvisi critici non ha conseguenze in produzione
Articoli correlati
Altro in questa categoria
Approfondimenti
-
Reset password: una misura di sicurezza che diventa Vi ricordate il vecchio adagio “cambia la password almeno... -
Recovery scam: quando la truffa colpisce due volte Nel panorama delle minacce informatiche, esiste una... -
Strategia cybersecurity USA verso un modello più assertivo... Nel mese scorso, il governo degli USA ha rilasciato un... -
Proxy residenziali: quando la reputazione degli IP smette... Secondo un’analisi pubblicata da GreyNoise, basata su... -
Vertex AI e il rischio dei “double agent” AI Un recente studio della Unit 42 di Palo Alto ha messo in...
Minacce recenti
Off topic
-
L’IA generativa unifica le interfacce di gestione e... Con l’avvento dell’IA generativa... -
Cyberinsurance: misurare il rischio umano può... Negli ultimi anni sempre più aziende stanno sottoscrivendo... -
Il machine learning di Kaspersky aumenta la capacità di... Grazie al machine learning, il Global Research and Analysis... -
I vertici aziendali non sono del tutto pronti alle nuove... Il 2024 è l’anno delle nuove normative di sicurezza:... -
Più della meta delle aziende geo-distribuite ha problemi... Una delle sfide principali delle aziende distribuite sul...
Post recenti
-
Reset password: una misura di sicurezza che diventa Vi ricordate il vecchio adagio “cambia la password almeno...
-
Kyber annuncia il ransomware “post-quantum”, ma… Kyber è un gruppo ransomware relativamente recente che ha... -
L’App europea di verifica dell’età è stata bucata in... La nuova app europea per la verifica dell’età,... -
Recovery scam: quando la truffa colpisce due volte Nel panorama delle minacce informatiche, esiste una...
-
Supply chain: il 69% delle aziende pronto a co-finanziare... Sembra che il mercato inizi a considerare una cosa...
Ransomware: la serie
No posts found.