Configuração predefinida no Apache Superset apresenta riscos de segurança

A empresa de segurança Horizon3.ai lançou o alerta de que atores maliciosos podem explorar as configurações predefinidas do Apache Superset para ganhar acesso de administrador e executar código nos servidores e nas bases de dados.

O Superset usa cookies de sessão que contêm um código secreto para autenticação. Este código deveria ser gerado aleatoriamente para prevenir cenários onde os atacantes poderiam utilizar uma chave conhecida com os seus próprios cookies para ganhar acesso à aplicação.

Os atacantes que conheçam uma chave de sessão do Superset podem entrar como administrador, aceder a bases de dados conectados à aplicação, adicionar, modificar e apagar bases de dados e executar código remotamente.

A Horizon 3.ai explica que, por predefinição, “as conexões de bases de dados são preparadas com permissões read-only, mas um atacante com acesso de administrador pode permitir a escrita e DML statements”.

Identificada como CVE-2023-27524 (pontuação CVSS de 8,9), a vulnerabilidade existe porque, quando o Superset é instalado, a chave secreta é padronizada para um valor específico, sendo o utilizador responsável por alterá-la para um valor criptográfico string aleatória segura.