Ứng dụng nguồn mở, dựa trên khung Flask của Python, dùng khóa bí mật với giá trị mặc định mà mọi người đều biết đến:
SECRET_KEY = '\2\1thisismyscretkey\1\2\e\y\y\h'
Trong một khuyến cáo hôm 25/4, công ty bảo mật Horizon3.ai giải thích rằng khi người dùng đăng nhập vào phiên bản Superset, ứng dụng web sẽ gửi cookie phiên có mã định danh người dùng cho trình duyệt web của khách truy cập.
Naveen Sunkavally, kiến trúc sư trưởng tại Horizon3.ai cho biết: “Ứng dụng web ký cookie bằng SECRET_KEY, một giá trị được cho là được tạo ngẫu nhiên và thường được lưu trữ trong tệp cấu hình cục bộ”.
Nếu kẻ tấn công biết giá trị của SECRET_KEY, thì kẻ đó có thể tạo và ký cookie, xác thực với tư cách là quản trị viên ứng dụng. Việc kiểm tra xem Superset có đang sử dụng khóa mặc định hay không bằng một công cụ có tên là jar-unsign là khá đơn giản.
Theo Sunkavally, khoảng 2/3 số người sử dụng phần mềm không tạo khóa mới khi thiết lập Superset: tính đến ngày 11/10/2021, ứng dụng này có gần 3.000 phiên bản để lộ trên internet, khoảng 2.000 trong số đó dựa trên phiên bản mặc định chìa khoá bí mật.
Ngày 11/01/2022, nhóm bảo mật của Apache đã thực hiện một số thay đổi nhằm thiết lập một khóa bí mật mặc định mới: "CHANGE_ME_TO_A_COMPLEX_RANDOM_SECRET"
Nhưng lần này, ứng dụng có một bước kiểm tra để xem liệu giá trị mặc định mới có không thay đổi hay không. Nếu đúng như vậy, ứng dụng ghi cảnh báo vào tệp nhật ký của ứng dụng, kèm theo hướng dẫn về cách tạo khóa bảo mật. Tuy nhiên, người dùng không chắc sẽ để ý đến cảnh báo.
Hơn một năm sau khi thay đổi này được thực hiện, ngày 9/02/2023, Horizon3.ai tiếp tục kiểm tra xem có bao nhiêu phiên bản Superset đang định cấu hình ứng dụng bằng khóa bí mật mặc định công khai. Lần này, họ đã mở rộng tìm kiếm Shodan.io của mình thành bốn khóa mặc định khác nhau: khóa gốc, khóa mới và hai khóa khác - một từ mẫu triển khai và một từ tài liệu. Kết quả không có nhiều thay đổi, trong số 3.176 phiên bản Superset, 2.124 (gần 67%) đang sử dụng một trong bốn khóa mặc định.
Vì vậy, Horizon3.ai đã liên hệ lại với nhóm bảo mật của Apache, những người duy trì dự án đã tung ra một bản cập nhật sẽ được gửi như một phần của bản phát hành 2.1 vào ngày 5/4/2023, để "áp đặt các biện pháp khắc nghiệt hơn khi xác định SECRET_KEY mặc định". Thay đổi này khiến ứng dụng không khởi động bằng khóa mặc định.
Sunkavally cho biết: "Tệp docker-compose chứa SECRET_KEY mặc định mới của TEST_NON_DEV_SECRET mà chúng tôi sợ rằng một số người dùng sẽ vô tình chạy Superset với nó. Một số cấu hình cũng đặt admin/admin làm thông tin đăng nhập mặc định cho người dùng quản trị".
Lỗ hổng Superset được gắn mã định danh CVE-2023-27524 vào ngày 24/4. Sunkavally cho biết những người dùng Superset có liên quan có thể kiểm tra xem liệu máy chủ của họ có khóa mặc định hay không với script dựa trên jar-unsign tại địa chỉ https://github.com/horizon3ai/CVE-2023-27524.
Cũng theo Sunkavally, hơn 2.000 phiên bản Superset dễ bị tổn thương được xác định đã được vận hành bởi các công ty lớn và nhỏ, các cơ quan chính phủ và trường đại học, đồng thời cho biết thêm rằng một số tổ chức này đã xử lý lỗ hổng sau khi được thông báo về nó.
Nguyễn Anh Tuấn (theo The Register)
14:00 | 11/09/2024
13:00 | 26/08/2022
09:00 | 09/08/2022
16:00 | 16/12/2021
13:00 | 07/10/2024
Các nhà nghiên cứu cho biết một lỗ hổng bảo mật khiến hàng triệu chiếc xe Kia sản xuất từ năm 2023 có thể bị chiếm quyền điều khiển, cho phép kẻ tấn công kiểm soát từ xa.
13:00 | 06/08/2024
Các nhà nghiên cứu đã phát hiện ra một lỗ hổng nghiêm trọng mới trong Hệ thống phân giải tên miền (DNS) cho phép thực hiện một cuộc tấn công có tên là TuDoor. Cuộc tấn công này có thể được sử dụng nhằm vào bộ đệm DNS, khởi tạo các điều kiện để tấn công từ chối dịch vụ (DoS) và làm cạn kiệt tài nguyên, điều đó khiến nó trở thành mối đe dọa mới.
10:00 | 31/07/2024
Mới đây, tin tặc đã phát tán tài liệu nội bộ liên quan đến các cơ quan trọng yếu của Mỹ như Bộ Quốc phòng, Bộ An ninh Nội địa, Cơ quan Hàng không và Vũ trụ (NASA). Theo đó, tài liệu nội bộ bị đánh cắp từ Leidos Holdings, một trong những nhà cung cấp dịch vụ công nghệ thông tin lớn nhất của Chính phủ Mỹ.
09:00 | 26/06/2024
Việc xác thực 2 yếu tố bằng mã OTP được xem là biện pháp bảo mật an toàn. Tuy nhiên các tin tặc đã tìm ra kẽ hở để sử dụng phương pháp này tấn công lừa đảo.
Trong một chiến dịch tấn công mạng quy mô lớn, Microsoft đã phối hợp với Bộ Tư pháp Hoa Kỳ (DoJ) triệt phá thành công mạng lưới 107 tên miền Internet được tin tặc Nga sử dụng để thực hiện các hoạt động lừa đảo và tấn công mạng.
18:00 | 11/10/2024