【已复现】Apache Superset身份认证绕过漏洞安全风险通告

奇安信CERT

致力于第一时间为企业级用户提供权威漏洞情报和有效解决方案。

（注：奇安信CERT的漏洞深度分析报告包含此漏洞的POC及技术细节，订阅方式见文末。）

安全通告

Apache Superset是一种用于数据探索和数据可视化的开源软件应用程序，能够处理 PB 级数据。它具有快速、轻量、直观的特点，任何用户都可以轻松地上手探索他们的数据。

近日，奇安信CERT监测到Apache Superset 身份认证绕过漏洞(CVE-2023-27524)，由于Apache Superset存在不安全的默认配置，未根据安装说明更改默认SECRET_KEY 的系统受此漏洞影响，未经身份认证的远程攻击者利用此漏洞可以访问未经授权的资源或执行恶意代码。目前此漏洞的POC与技术细节已在互联网上公开，漏洞的现实威胁进一步上升。奇安信CERT已分析复现此漏洞。鉴于此漏洞影响范围较大，建议客户尽快做好自查及防护。

漏洞名称	Apache Superset 身份认证绕过漏洞
公开时间	2023-04-24	更新时间	2023-04-26
CVE编号	CVE-2023-27524	其他编号	QVD-2023-9889
威胁类型	身份认证绕过	技术类型	不安全的资源默认值
厂商	Apache	产品	Superset
风险等级
奇安信CERT风险评级		风险等级
高危		蓝色（一般事件）
现时威胁状态
POC状态	EXP状态	在野利用状态	技术细节状态
已公开	未发现	未发现	已公开
漏洞描述	Apache Superset中存在身份认证绕过漏洞，由于Apache Superset 不安全的默认配置，未根据安装说明更改默认SECRET_KEY 的系统受此漏洞影响，未经身份认证的远程攻击者利用此漏洞可以访问未经授权的资源或执行恶意代码。
影响版本	Apache Superset <= 2.0.1
不受影响版本	Apache Superset >= 2.1.0
其他受影响组件	无

奇安信 CERT 已成功复现该漏洞，截图如下：

一、安全更新

二、更改默认配置

更换默认的 SECRET_KEY，由于数据库密码等敏感信息也使用 SECRET_KEY 加密，因此需要使用新的 SECRET_KEY 重新加密该信息，相关文档参考：

https://superset.apache.org/docs/installation/configuring-superset/#secret_key-rotation

奇安信网站应用安全云防护系统已更新防护特征库

奇安信网神网站应用安全云防护系统已全局更新所有云端防护节点的防护规则，支持对Apache Superset 身份认证绕过漏洞的防护。

奇安信开源卫士已支持

奇安信开源卫士20230426. 245版本已支持对Apache Superset 身份认证绕过漏洞(CVE-2023-27524)的检测。

奇安信天眼检测方案

奇安信天眼新一代安全感知系统已经能够有效检测针对该漏洞的攻击，请将规则版本升级到3.0.0426.13839或以上版本。规则ID及规则名称：0x10021616，Apache Superset 身份认证绕过漏洞(CVE-2023-27524)。奇安信天眼流量探针规则升级方法：系统配置->设备升级->规则升级，选择“网络升级”或“本地升级”。

奇安信网神网络数据传感器系统产品检测方案

奇安信网神网络数据传感器（NDS5000/7000/9000系列）产品，已具备该漏洞的检测能力。规则ID为：7745，建议用户尽快升级检测规则库至2304261500以上。

[1]https://lists.apache.org/thread/n0ftx60sllf527j7g11kmt24wvof8xyk 

[2]https://superset.apache.org/docs/installation/configuring-superset/#secret_key-rotation

[3]https://www.apache.org/dist/superset/2.1.0 

2023年4月26日，奇安信 CERT发布安全风险通告。

原文始发于微信公众号（奇安信 CERT）：【已复现】Apache Superset身份认证绕过漏洞安全风险通告