Apache Superset rentan terhadap bypass autentikasi dan eksekusi kode jarak jauh pada konfigurasi default, memungkinkan penyerang berpotensi mengakses dan mengubah data, memanen kredensial, dan menjalankan perintah.
Apache Superset adalah alat visualisasi dan eksplorasi data sumber terbuka yang awalnya dikembangkan untuk Airbnb sebelum menjadi proyek tingkat atas di Apache Software Foundation pada tahun 2021.
Menurut laporan baru oleh Cakrawala3Apache Superset menggunakan default Kunci Rahasia Labu untuk menandatangani cookie sesi otentikasi. Akibatnya, penyerang dapat menggunakan kunci default ini untuk memalsukan cookie sesi yang memungkinkan mereka masuk dengan hak administrator ke server yang tidak mengubah kunci.
Selagi dokumentasi Apache tidak memberi tahu admin untuk mengubah kunci rahasia, Horizon3 mengatakan bahwa konfigurasi default yang berbahaya ini saat ini terdeteksi di sekitar 2.000 server yang terpapar internet milik universitas, perusahaan dengan berbagai ukuran, organisasi pemerintah, dan banyak lagi.
Kunci rahasia Flask default yang banyak digunakan ini diketahui oleh penyerang yang mungkin menggunakannya flask-unsign dan memalsukan cookie mereka sendiri untuk mendapatkan akses administrator pada target, mengakses basis data yang terhubung atau menjalankan pernyataan SQL sewenang-wenang di server aplikasi.
“Kami tidak mengungkapkan metode eksploitasi apa pun saat ini, meskipun menurut kami akan mudah bagi penyerang yang tertarik untuk mengetahuinya,” Horizon3 memperingatkan.
Penting untuk dicatat bahwa jika administrator telah mengubah kunci default dengan kunci yang tidak diketahui penyerang, penginstalan mereka tidak rentan terhadap serangan ini.
Penemuan dan Dampak
Cacat tersebut ditemukan oleh tim Horizon3 pada 11 Oktober 2021, dan dilaporkan ke tim Keamanan Apache.
Pada 11 Januari 2022, pengembang perangkat lunak merilis versi 1.4.1, yang mengubah ‘SECRET_KEY’ default menjadi string baru, dan peringatan ditambahkan ke log saat string default terdeteksi saat startup.
Horizon3 juga menemukan dua kunci default lain yang digunakan dalam dokumentasi dan templat dan menggunakan Shodan untuk mencari contoh menggunakan keempat kunci tersebut.
Pada saat itu, Horizon3 menemukan bahwa sekitar 2.124 (67% dari total) salah konfigurasi.
Horizon3 menghubungi Apache lagi dan mengangkat masalah tersebut, dan pada Februari 2023, para peneliti mulai mengirimkan peringatan ke organisasi tentang perlunya mengubah konfigurasi mereka.
Akhirnya, pada 5 April 2023, tim Superset merilis versi 2.1, yang tidak mengizinkan server untuk memulai jika menggunakan ‘SECRET_KEY’ default.
Meskipun solusi drastis ini mencegah penerapan baru yang berisiko, ini tidak memperbaiki kesalahan konfigurasi yang ada, yang menurut Horizon3, masih ada di lebih dari 2.000 kasus.
Perusahaan keamanan telah berbagi skrip di GitHub yang dapat digunakan oleh admin Apache Superset untuk menentukan apakah instance mereka rentan terhadap serangan.
