O Apache Superset, uma poderosa ferramenta de visualização de dados de código aberto, hoje se encontra sob os holofotes devido a duas novas vulnerabilidades críticas que foram identificadas e agora estão sendo corrigidas. Estas falhas poderiam permitir a um atacante ganhar controle remoto sobre sistemas afetados, tornando-se uma séria ameaça para a segurança daqueles que o utilizam.

As vulnerabilidades, conhecidas como CVE-2023-39265 e CVE-2023-37941, foram identificadas pela equipe de segurança da Apache Superset, que imediatamente lançou uma atualização (versão 2.1.1) para abordar essas preocupações críticas.

Detalhando as Vulnerabilidades

A primeira vulnerabilidade, CVE-2023-39265, envolve um cenário de bypass URI ao se conectar ao banco de dados SQLite usado para o metastore. Isso permitiria a um invasor executar comandos de manipulação de dados e potencialmente causar estragos no sistema.

Além disso, dentro do mesmo CVE, há uma falta de validação ao importar informações de conexão do banco de dados SQLite de um arquivo. Esta falha poderia ser explorada por um invasor para importar um arquivo ZIP maliciosamente criado, tornando a situação ainda mais preocupante.

A segunda vulnerabilidade, CVE-2023-37941, envolve o uso do pacote ‘pickle’ da linguagem Python para armazenar determinados dados de configuração. Esta vulnerabilidade permite que um invasor com acesso de gravação ao banco de dados dos metadados insira um payload ‘pickle’ e, em seguida, o acione para ter uma execução remota de código, uma situação extremamente séria.

Além das Vulnerabilidades Críticas

Além de abordar essas duas preocupações críticas de segurança, a versão mais recente do Apache Superset também corrige uma questão relacionada a permissões inadequadas da API REST (CVE-2023-36388), que poderia permitir que usuários de baixo privilégio realizassem ataques de Server-side request forgery (SSRF).

Isso poderia ser explorado por invasores para conduzir uma variedade de ataques prejudiciais e expor ainda mais as organizações ao risco de violações de dados e danos aos sistemas.

Como os Atacantes se Aproveitaram dessas Vulnerabilidades

Os atacantes que exploraram essas vulnerabilidades seguiram um processo sofisticado. Primeiro, eles usaram técnicas de força bruta para adivinhar as credenciais dos servidores MSSQL (Microsoft SQL). Uma vez dentro, eles iniciaram a enumeração do banco de dados, identificando todos os usuários com acesso e verificando se a função “xp_cmdshell” estava habilitada.

A função “xp_cmdshell” é uma instrução Transact-SQL que permite que os usuários executem comandos do sistema operacional e retornem os resultados. Isso fornecia aos invasores a capacidade de controlar o sistema remotamente.

Alerta Sobre a Importância da Segurança

Esta divulgação de vulnerabilidades destaca a importância de manter as ferramentas de software atualizadas e de seguir práticas rígidas de segurança da informação. Às vezes, vulnerabilidades críticas podem ser exploradas por atores maliciosos, representando uma séria ameaça à integridade dos sistemas e dados.

No passado, o Apache Superset também enfrentou uma falha de alta gravidade (CVE-2023-27524) que poderia permitir que invasores não autorizados ganhassem acesso de administrador aos servidores e executassem payloads. Essa vulnerabilidade foi devido ao uso de uma chave secreta padrão e, surpreendentemente, muitos servidores ainda a usam.

Conclusão

Manter a segurança de seus sistemas e software é crucial na era digital. A exposição a vulnerabilidades pode levar a consequências graves. O Apache Superset está fazendo um esforço para corrigir essas falhas, mas os usuários devem garantir que estejam executando as versões mais recentes e implementando medidas robustas de segurança para proteger seus sistemas contra ameaças cada vez mais sofisticadas.