CISA 警告 Apache Superset 漏洞已被利用

阅读量59455

发布时间 : 2024-01-10 13:42:31

美国网络安全机构 CISA 周一宣布,在其已知利用漏洞 (KEV) 目录中又添加了 6 个条目,其中包括 2023 年 4 月披露的 Apache Superset 漏洞。

Apache Superset 是一个用 Python 编写的开源应用程序,允许用户探索和可视化大量数据。

Superset 基于 Flask Web 框架,它依赖于使用密钥签名的会话 cookie 进行身份验证。

该密钥本应是随机生成的,但去年 4 月,渗透测试公司 Horizon3.ai 警告称,安装后,Superset 会将密钥默认为特定值,并且可从互联网访问的大约 2,000 个 Superset 实例正在使用该密钥。默认键。

攻击者可以使用默认会话密钥以管理员身份登录这些 Superset 实例、访问连接到应用程序的数据库、篡改它们并远程执行代码。

“默认情况下,数据库连接设置为只读权限,但具有管理员访问权限的攻击者可以启用写入和 DML(数据模型语言)语句。强大的 SQL Lab 界面允许攻击者针对连接的数据库运行任意 SQL 语句。”Horizon3.ai 说道。

该问题最初于 2021 年发现,密钥值于 2022 年轮换为新的默认值,并在日志中添加了警告。Superset 版本 2.1 通过在密钥值为默认值时阻止服务器启动来解决该错误(现已跟踪为 CVE-2023-27524)。

随着 CISA 将该漏洞添加到KEV目录中,这意味着威胁行为者已开始在野外利用该漏洞。然而,该机构没有提供所观察到的攻击的具体细节。

CISA 还在 KEV 中添加了两个最近解决的 Adobe ColdFusion 缺陷(CVE-2023-38203 和 CVE-2023-29300)、Apple 产品中的代码执行错误(CVE-2023-41990)、Joomla 中的不正确访问检查问题(CVE- 2023-23752),以及 D-Link DSL-2750B 设备中的命令注入问题(CVE-2016-20017)。

约束性操作指令 (BOD) 22-01 要求联邦机构识别其网络中存在漏洞的产品,并在漏洞添加到 CISA 的 KEV 列表后 21 天内应用可用的补丁和缓解措施。

虽然 BOD 22-01 仅适用于联邦机构,但鼓励所有组织审查 KEV 目录并优先修补其中的漏洞,或者在无法采取缓解措施的情况下停止使用受影响的产品。

本文转载自:

如若转载,请注明出处:

安全客 - 有思想的安全新媒体

分享到:微信
+10赞
收藏
安全客
分享到:微信

发表评论

内容需知
  • 投稿须知
  • 转载须知
  • 官网QQ群8:819797106
  • 官网QQ群3:830462644(已满)
  • 官网QQ群2:814450983(已满)
  • 官网QQ群1:702511263(已满)
合作单位
  • 安全客
  • 安全客
Copyright © 北京奇虎科技有限公司 360网络攻防实验室 安全客 All Rights Reserved 京ICP备08010314号-66