Apache Superset の脆弱性 CVE-2023-27524 が FIX:脆弱なインスタンスが散在している状況

Apache Superset Vulnerability: Insecure Default Configuration Exposes Servers to RCE Attacks

2023/04/26 TheHackerNews — OSS データ可視化ソフトウェア Apache Superset (BI Tool) のメンテナたちは、リモート・コード実行を許す可能性のある、安全性が担保されないデフォルト・コンフィグレーションの問題を修正するプログラムをリリースした。この脆弱性 CVE-2023-27524 (CVSS:8.9) は、Apache Superset バージョン 2.0.1 以下に影響を及ぼす。そして、デフォルトの SECRET_KEY の悪用に成功した攻撃者は、インターネットに露出したインスタンスに対して、不正な認証/リソース・アクセスを行っていく。


Horizon3.ai の Chief Architect である Naveen Sunkavally は、「Apache Supersetの危険なデフォルト・コンフィグレーションにより、攻撃者はリモート・コードを実行し、認証情報を採取し、データを侵害できる。なお、この欠陥は、SECRET_KEY コンフィグのデフォルト値を暗号化し、安全なランダム文字列に変更した Superset インスタンスには影響しない」と説明している。

Horizon3.ai は、「インストール時に SECRET_KEY がデフォルト値である “\x02x01thisismyscretkey” に設定されているインスタンスの存在を確認し、2021年10月の時点で一般にアクセス可能な 1,288台のサーバのうち 918台が、このデフォルト値を使用していた」と発表している。

秘密鍵を知っている攻撃者は、セッション・クッキーを偽造することで、これらのサーバに管理者としてサインインし、システムの制御を奪取することができたとされている。

2022年1月11日に、このプロジェクトメンテナは、Python コードで SECRET_KEY の値を “CHANGE_ME_TO_A_COMPLEX_RANDOM_SECRET” に変更し、それを上書きする指示とにより、この問題を修正しようと試みた。

しかし、それだけでは終わらなかった。Horizon3.ai によると、さらに2つの追加の SECRET_KEY 設定が見つかり、デフォルト値として “USE_YOUR_OWN_SECURE_RANDOM_KEY” と “thisisaSECRET_1234” が割り当てられたという。

Apache Superset Vulnerability


そして 2023年2月になって、この4つのキーで拡張検索を行ったところ、3,176件のインスタンスが発見され、そのうち 2,124件はデフォルト・キーのいずれかを使用していることが判明した。その中には、大企業/中小企業/政府機関/大学などが含まれている。

Apache のセキュリティ・チームへの2度目の開示を受けて、2023年4月5日に バージョン 2.1 をリリースし、さらに、デフォルトの SECRET_KEY で構成されている場合に、サーバが起動しないようにした。

Sunkavally は、「しかし、Docker-compose ファイルや helm テンプレートを介してインストールされる場合には、デフォルトの SECRET_KEY で Superset を実行することが可能であり、この修正は確実ではない」を述べている。

彼は、「docker-compose ファイルには、TEST_NON_DEV_SECRET という新しいデフォルトの SECRET_KEY が含まれており、知らず知らずのうちに一部のユーザーが、Superset を実行してしまう恐れがある。また、コンフィグレーションによっては、admin/admin を管理者ユーザーのデフォルトのクレデンシャルとして設定しているものもある」と指摘している。

Horizon3.ai は、この欠陥の影響を受けやすい Superset インスタンスを判断するための、Python スクリプトも公開している。

Sunkavally は、「一般的に、ユーザーはドキュメントを読まない。したがってアプリケーションは、デフォルトが安全になるような経路を、ユーザーに強いるように設計されるべきだ。最良の方法は、ユーザーから意図的に選択肢を奪い、安全ではない行動が取れないように要求することだ」と述べている。

Apache Superset ですが、いわゆる BI Tool であり、Airbnb が開発したものだと、Designet は解説しています。そして、デフォルト・コンフィグレーションに問題があるとして、脆弱性 CVE-2023-27524 が採番されています。ほとんどのクラウド・サービスにおいても、ミスコンフィグレーションの多さが指摘されていますが、この Apache Superset のような OSS ビジネス・アプリケーションも同様のようです。危ないデフォルト・コンフィグレーションが、この問題を契機に見直されると良いですね。