CVE-2023-27524-Erkennung: Neue Schwachstelle setzt Tausende Apache Superset-Server RCE-Angriffen aus
Inhaltsverzeichnis:
Das beliebte Open-Source-Tool für Datenvisualisierung und Datenexploration, Apache Superset, soll anfällig für Authentifizierungs-Bypass und Remote-Code-Ausführung (RCE) sein, was es Bedrohungsakteuren ermöglicht, Administratorzugriff auf die Zielserver zu erlangen und weiter Benutzeranmeldedaten zu sammeln und Daten zu kompromittieren. Der entdeckte Fehler ist als CVE-2023-27524 bekannt und betrifft eine unsichere Standardkonfiguration. Der grundlegende Proof-of-Concept-Exploit-Code (PoC) wurde bereits auf GitHub veröffentlicht.
Erkennung von CVE-2023-27524 Ausnutzungsversuchen
Da PoC-Exploit-Code für CVE-2023-27524 öffentlich auf GitHub verfügbar ist, sind zeitnahe Erkennung und proaktive Abwehrmaßnahmen entscheidend, um die Infrastruktur der Organisation vor potenziellen RCE-Angriffen zu schützen. Die SOC-Prime-Plattform für kollektive Cyber-Abwehr bietet eine kuratierte Sigma-Regel, die auf die Erkennungs-Muster von CVE-2023-27524 abzielt:
Mögliche Apache Superset CVE-2023-27524 PoC IOC-Erkennung (über Webserver)
Diese Sigma-Regel erkennt Ausnutzungsversuche von CVE-2023-27524, die es Angreifern ermöglichen, anfänglichen Zugriff auf die anfälligen Apache Superset-Server zu erlangen. Die Erkennung ist mit 14 SIEM-, EDR- und XDR-Plattformen kompatibel und ist auf den MITRE ATT&CK Framework v12 abgestimmt, die mit der Initial Access-Taktik und der Technik Exploit Public-Facing Application (T1190) korrespondiert. Bitte beachten Sie, dass Hacker ihre Angriffsmuster ändern könnten, um der Erkennung zu entgehen.
Um den Angreifern voraus zu sein und ständig mit den Bedrohungen durch neue Schwachstellen Schritt zu halten, bietet SOC Prime kuratierte Erkennungsinhalte, die Organisationen helfen, ihre Cybersecurity-Defensive zu optimieren. Durch das Anklicken des Explore Detections Buttons können Organisationen sofort auf noch mehr Erkennungsalgorithmen zugreifen, die darauf abzielen, bösartiges Verhalten zu identifizieren, das mit der Ausnutzung von Trend-Schwachstellen verbunden ist. Für eine vereinfachte Bedrohungsuntersuchung können Teams auch relevante Metadaten einsehen, einschließlich ATT&CK- und CTI-Referenzen.
CVE-2023-27524 Analyse: RCE Apache Superset Schwachstelle
Horizon3.ai hat kürzlich eine neue Schwachstelle in den Apache Superset-Servern entdeckt, bekannt als CVE-2023-27524, mit einem CVSS-Score von 8,9. Laut der Forschung laufen etwa zwei Drittel aller Unternehmensserver mit dieser unsicheren Standardkonfiguration. Der Fehler betrifft die Serverinstanzen ab Version 1.4.1 bis 2.0.1, die den Standardwert SECRET_KEY verwenden und von Bedrohungsakteuren potenziell ausgenutzt werden könnten, um unberechtigten Zugriff auf die kompromittierten Geräte zu erlangen. Unter den betroffenen Organisationen befinden sich sowohl Großunternehmen als auch kleine Firmen in verschiedenen Branchen, einschließlich Regierungsinstitutionen und Universitäten.
Nach erfolgreicher Ausnutzung kann ein Angreifer, der einen Apache Superset-Sitzungsschlüssel kennt, sich mit Administratorrechten einloggen, Zugriff auf die Datenbanken erhalten und diese weiter modifizieren oder löschen, sowie RCE auf den kompromittierten Datenbanken und dem Server selbst ausführen. Dadurch können Angreifer sensible Daten sammeln, wie Benutzer- und Datenbankanmeldedaten, was zu einer weiteren Systemkompromittierung führen kann.
Mit der steigenden Anzahl an Superset-Kunden und der weit verbreiteten Verwendung einer Standardkonfiguration könnten Tausende von globalen Organisationen potenziellen RCE-Angriffen ausgesetzt sein.
Um Organisationen bei der Bedrohungsbewältigung zu unterstützen, hat das Team des Unternehmens ein Update mit der Produkversion 2.1 veröffentlicht, das verhindert, dass der Server gestartet wird, wenn er auf der Standardkonfiguration des Geheimschlüssels basiert. Dennoch ist der Patch kein Allheilmittel, da Serverinstanzen, die über eine docker-compose Datei oder ein Helm-Template installiert sind, weiterhin die Standard-Schlüssel verwenden.
Mit dem CVE-2023-27524 PoC-Exploit-Code der von dem Horizon3.ai-Team auf GitHub veröffentlicht wurde, können Organisationen überprüfen, ob ihr Apache Superset-Server eine gefährliche Standardkonfiguration verwendet, indem sie das entsprechende Skript anwenden. Sollte Letzteres bestätigen, dass die Serverinstanz möglicherweise verwundbar ist, wird dringend empfohlen, dass Organisationen ihre Version auf die neueste mit dem verfügbaren Patch aktualisieren oder sie entfernen.
Steigern Sie Ihre Bedrohungserkennungsfähigkeiten und beschleunigen Sie die Bedrohungsjagd, ausgestattet mit Sigma, MITRE ATT&CK und Detection as Code, um immer kuratierte Erkennungsalgorithmen gegen jeden gegnerischen TTP oder jede ausnutzbare Schwachstelle zur Hand zu haben. Erhalten Sie 800 Regeln für bestehende CVEs, um Bedrohungen, die am meisten zählen, proaktiv zu verteidigen. Erreichen Sie sofort 140+ Sigma-Regeln kostenlos unter https://socprime.com/ oder erhalten Sie alle relevanten Erkennungsalgorithmen On Demand unter https://my.socprime.com/pricing/.
