-
09/04/2020
-
85
-
553 bài viết
Lỗ hổng trong cấu hình Apache Superset khiến máy chủ bị tấn công thực thi mã từ xa
Apache vừa phát hành các bản vá để sửa lỗi trong phần mềm mã nguồn mở Apache Superset. Lỗ hổng xảy ra do lỗi cấu hình mặc định không an toàn có thể dẫn đến thực thi mã từ xa.
Apache Superset là phần mềm giúp trực quan hóa dữ liệu hay hiển thị dữ liệu dưới dạng các biểu đồ, đồ thị khi diễn tả thông tin cho người dùng.
Lỗ hổng vừa phát hiện có mã định danh là CVE-2023-27524 (điểm CVSS: 8,9), ảnh hưởng đến các phiên bản từ 2.0.1 trở xuống. Kẻ tấn công có thể lạm dụng cấu hình mặc định SECRET_KEY để xác thực và truy cập trái phép vào các tài nguyên được thiết lập mở ra ngoài internet.
Các chuyên gia đánh giá đây là "một cấu hình mặc định nguy hiểm trong Apache Superset cho phép kẻ tấn công chưa xác thực thực thi mã từ xa, thu thập thông tin đăng nhập và xâm nhập vào máy chủ dữ liệu".
Sau đó, kẻ tấn công có thể đăng nhập vào các máy chủ này với tư cách quản trị viên bằng cách giả mạo cookie và giành quyền kiểm soát hệ thống. Từ đó, hacker có thể đánh cắp dữ liệu, di chuyển ngang trong hệ thống, mã hóa dữ liệu…
Điều đáng chú ý là lỗ hổng này không ảnh hưởng đến các phiên bản Superset đã thay đổi giá trị mặc định cho cấu hình SECRET_KEY.
Đơn vị tìm ra lỗ hổng - Horizon3.ai - đã phát hiện ra rằng SECRET_KEY được mặc định giá trị "\x02\x01thisismyscretkey\x01\x02\\e\\y\\y\\h" khi cài đặt và 918 trong số 1.288 máy chủ có thể truy cập công khai đang sử dụng cấu hình mặc định này vào tháng 10 năm 2021.
Vào ngày 11 tháng 1 năm 2022, các chuyên gia của Apache đã cố gắng khắc phục sự cố bằng cách đổi giá trị SECRET_KEY thành "CHANGE_ME_TO_A_COMPLEX_RANDOM_SECRET" trong mã Python cùng với hướng dẫn để người dùng ghi đè giá trị đó.
Nhưng sau đó lại có thêm hai cấu hình SECRET_KEY bổ sung được phát hiện có gán giá trị mặc định "USE_YOUR_OWN_SECURE_RANDOM_KEY " và "thisISaSECRET_1234".
Theo một thống kê được tiến hành vào tháng 2 năm 2023 với 4 key này đã tìm được 3.176 trường hợp, trong đó có 2.124 trường hợp đang sử dụng một trong các key mặc định.
Apache đã phát hành một bản cập nhật mới (phiên bản 2.1) vào ngày 5 tháng 4 năm 2023 để vá lỗ hổng này bằng cách ngăn máy chủ khởi động hoàn toàn nếu nó được định cấu hình với SECRET_KEY mặc định nhưng cách khắc phục này chưa triệt để vì vẫn có thể chạy Superset với cấu hình này nếu nó được cài đặt thông qua tệp docker-compose hoặc mẫu helm.
Các chuyên gia WhiteHat đánh giá đây là lỗ hổng cực kỳ nghiêm trọng và ảnh hưởng đến các tập đoàn, cơ quan chính phủ và trường đại học, trong đó có cả Việt Nam. Vì vậy các đơn vị đang sử dụng phần mềm này cần ngay lập tức cập nhật bản vá của nhà sản xuất để tránh bị tấn công.
Apache Superset là phần mềm giúp trực quan hóa dữ liệu hay hiển thị dữ liệu dưới dạng các biểu đồ, đồ thị khi diễn tả thông tin cho người dùng.
Lỗ hổng vừa phát hiện có mã định danh là CVE-2023-27524 (điểm CVSS: 8,9), ảnh hưởng đến các phiên bản từ 2.0.1 trở xuống. Kẻ tấn công có thể lạm dụng cấu hình mặc định SECRET_KEY để xác thực và truy cập trái phép vào các tài nguyên được thiết lập mở ra ngoài internet.
Các chuyên gia đánh giá đây là "một cấu hình mặc định nguy hiểm trong Apache Superset cho phép kẻ tấn công chưa xác thực thực thi mã từ xa, thu thập thông tin đăng nhập và xâm nhập vào máy chủ dữ liệu".
Sau đó, kẻ tấn công có thể đăng nhập vào các máy chủ này với tư cách quản trị viên bằng cách giả mạo cookie và giành quyền kiểm soát hệ thống. Từ đó, hacker có thể đánh cắp dữ liệu, di chuyển ngang trong hệ thống, mã hóa dữ liệu…
Điều đáng chú ý là lỗ hổng này không ảnh hưởng đến các phiên bản Superset đã thay đổi giá trị mặc định cho cấu hình SECRET_KEY.
Đơn vị tìm ra lỗ hổng - Horizon3.ai - đã phát hiện ra rằng SECRET_KEY được mặc định giá trị "\x02\x01thisismyscretkey\x01\x02\\e\\y\\y\\h" khi cài đặt và 918 trong số 1.288 máy chủ có thể truy cập công khai đang sử dụng cấu hình mặc định này vào tháng 10 năm 2021.
Vào ngày 11 tháng 1 năm 2022, các chuyên gia của Apache đã cố gắng khắc phục sự cố bằng cách đổi giá trị SECRET_KEY thành "CHANGE_ME_TO_A_COMPLEX_RANDOM_SECRET" trong mã Python cùng với hướng dẫn để người dùng ghi đè giá trị đó.
Nhưng sau đó lại có thêm hai cấu hình SECRET_KEY bổ sung được phát hiện có gán giá trị mặc định "USE_YOUR_OWN_SECURE_RANDOM_KEY " và "thisISaSECRET_1234".
Theo một thống kê được tiến hành vào tháng 2 năm 2023 với 4 key này đã tìm được 3.176 trường hợp, trong đó có 2.124 trường hợp đang sử dụng một trong các key mặc định.
Apache đã phát hành một bản cập nhật mới (phiên bản 2.1) vào ngày 5 tháng 4 năm 2023 để vá lỗ hổng này bằng cách ngăn máy chủ khởi động hoàn toàn nếu nó được định cấu hình với SECRET_KEY mặc định nhưng cách khắc phục này chưa triệt để vì vẫn có thể chạy Superset với cấu hình này nếu nó được cài đặt thông qua tệp docker-compose hoặc mẫu helm.
Các chuyên gia WhiteHat đánh giá đây là lỗ hổng cực kỳ nghiêm trọng và ảnh hưởng đến các tập đoàn, cơ quan chính phủ và trường đại học, trong đó có cả Việt Nam. Vì vậy các đơn vị đang sử dụng phần mềm này cần ngay lập tức cập nhật bản vá của nhà sản xuất để tránh bị tấn công.
Nguồn: The Hacker News, WhiteHat