Название базовой системы (платформы): | Apache |
Дата последнего релиза: | 2023/09/07 |
Технологии: | BI |
Содержание |
Apache Superset - open source BI-платформа.
2023: Потеря доступа и данных ждёт пользователей старых версий Apache SuperSet
Компания Apache выпустила обновления, закрывающие две уязвимости в аналитической платформе SuperSet. Эксплуатация этих уязвимостей (CVE-2023-39265 и CVE-2023-37941) позволяет злоумышленнику получить удалённый доступ и контроль над системой. Об этом стало известно 7 сентября 2023 года.
Обновление до версии 2.1.1 также исправляет отдельную проблему с некорректными правами доступа к REST API (CVE-2023-36388), которая давала возможность пользователям с низкими привилегиями проводить атаки типа SSRF.
По словам экспертов безопасности из компании Horizon3, платформа SuperSet изначально разработана так, чтобы предоставлять привилегированным пользователям доступ к произвольным базам данных и возможность выполнять SQL-запросы. Если же злоумышленнику удастся подключиться к метаданным самого SuperSet, он сможет получить доступ к конфигурации и учётным данным, а также выполнить произвольный код.Бизнес уходит в облако: стратегии и подходы
Уязвимость CVE-2023-39265 связана с обходом проверки URI при подключении к базе метаданных SQLite, что и позволяет выполнять произвольные операции с данными. Также с этой уязвимостью связывают отсутствие проверки при импорте информации о подключении к SQLite из файла, что может быть использовано злоумышленниками для импорта вредоносных файлов.
CVE-2023-37941 позволяет внедрить произвольную полезную нагрузку в хранилище метаданных и выполнить её удалённо. Эта уязвимость связана с использованием библиотеки «pickle» для сериализации данных. Злоумышленник, получивший доступ к записи в базу метаданных, может внедрить вредоносный код, который будет десериализован и выполнен на сервере.
Среди других исправленных в последней версии SuperSet недостатков:
- уязвимость для чтения произвольных файлов MySQL, которая может быть использована для получения учётных данных из базы;
- злоупотребление командой «load_examples» для получения URI базы метаданных из пользовательского интерфейса и изменения хранящихся в ней данных;
- использование учётных данных по умолчанию для доступа к базе данных метаданных в некоторых конфигурациях SuperSet;
- утечка учётных данных в виде открытого текста при запросе API «/api/v1/database» от имени привилегированного пользователя.
Эксперты рекомендуют генерировать «SECRET_KEY» для каждой конфигурации SuperSet, а не использовать значения по умолчанию. Это позволит избежать компрометации системы злоумышленниками.
По данным Horizon3, более 2000 из примерно 4000 открытых серверов SuperSet по-прежнему используют ключи по умолчанию. Около 70 систем имеют угадываемые ключи вроде «superset» или «123456».
Специалисты считают, что корень многих проблем кроется в том, что веб-интерфейс SuperSet изначально разрешает подключаться к базе метаданных. Это открывает возможности для атак, позволяя манипулировать конфигурацией и данными.
Разработчики обещают в дальнейшем ограничить доступ к метаданным и реализовать автоматическую генерацию ключей. Пользователям настоятельно рекомендуется установить последние обновления и проверить настройки безопасности системы.
Уязвимости в Open Source решениях, таких как SuperSet, могут создавать серьёзные риски для безопасности организаций. Эксперты призывают следить за выходом обновлений и своевременно их устанавливать. Также важно грамотно настраивать систему и не использовать учётные данные и ключи по умолчанию [1].
2021: Особенности Apache Superset
Среди особенностей Apache Superset на июнь 2021 года:
- Открытая масштабируемая архитектура
- Связка BI-платформы и платформы управления данными
- Несколько СУБД для решения различных задач
- Отсутствие лицензионных платежей
- Возможность доработки
Примечания
- ↑ [https://www.securitylab.ru/news/541587.php Потеря доступа и данных ждёт пользователей старых версий Apache SuperSet Подробнее: https://www.securitylab.ru/news/541587.php]
Подрядчики-лидеры по количеству проектов
Прогноз (250)
Loginom Company (ранее BaseGroup Labs Аналитические технологии) (125)
RBC Group Украина (124)
БизнесАвтоматика НПЦ (119)
Консультационная группа АТК (100)
Другие (2519)
Сапиенс солюшнс (Sapiens solutions) (9)
Форсайт (8)
Navicon (Навикон) (7)
Корус Консалтинг (6)
Доверенная среда (5)
Другие (101)
БизнесАвтоматика НПЦ (12)
Форсайт (8)
ФТО (5)
Manzana Group (М Софт) (4)
Optimacros (Оптимакрос) (3)
Другие (74)
Распределение вендоров по количеству проектов внедрений (систем, проектов) с учётом партнёров
Qlik (QlikTech) (59, 464)
Форсайт (19, 332)
SAP SE (70, 303)
Oracle (65, 267)
Loginom Company (ранее BaseGroup Labs Аналитические технологии) (4, 236)
Другие (1112, 1633)
SAP SE (6, 13)
Форсайт (2, 8)
Qlik (QlikTech) (2, 8)
Microsoft (2, 6)
Доверенная среда (1, 5)
Другие (50, 78)
БизнесАвтоматика НПЦ (1, 12)
Форсайт (3, 8)
Optimacros (Оптимакрос) (1, 6)
Microsoft (1, 5)
Manzana Group (М Софт) (3, 4)
Другие (40, 50)
Optimacros (Оптимакрос) (1, 10)
Форсайт (2, 8)
Analytic Workspace (ОСТ) (2, 5)
Manzana Group (М Софт) (2, 5)
БизнесАвтоматика НПЦ (1, 5)
Другие (37, 59)
Simetra (ранее А+С Транспроект) (1, 9)
БизнесАвтоматика НПЦ (1, 7)
SL Soft (СЛ Софт) (5, 6)
Полиматика (Polymatica) (5, 6)
VMware (2, 6)
Другие (29, 51)
Распределение систем по количеству проектов, не включая партнерские решения
QlikView - 370
Форсайт. Аналитическая платформа (ранее Prognoz Platform) - 318
Deductor - 226
Visary BI Платформа бизнес-аналитики - 119
SAP NetWeaver Business Warehouse (SAP BW/4HANA) - 103
Другие 1998
SAP NetWeaver Business Warehouse (SAP BW/4HANA) - 8
Форсайт. Аналитическая платформа (ранее Prognoz Platform) - 7
Qlik Sense - 6
Доверенная среда: Триафлай BI-платформа - 5
Microsoft Power BI - 5
Другие 85
Visary BI Платформа бизнес-аналитики - 12
Optimacros Платформа для оптимизационного и консолидационного планирования - 6
Microsoft Power BI - 5
Форсайт. Аналитическая платформа (ранее Prognoz Platform) - 5
Qlik Sense - 4
Другие 51