Detección de CVE-2023-27524: Nueva Vulnerabilidad Expone Miles de Servidores Apache Superset a Ataques RCE
Tabla de contenidos:
Se afirma que la popular herramienta de visualización y exploración de datos de código abierto, Apache Superset, es vulnerable a la omisión de autenticación y a la ejecución remota de código (RCE), lo que permite a los actores de amenazas obtener acceso de administrador a los servidores objetivo y, además, recopilar credenciales de usuario y comprometer datos. El error descubierto es un fallo de configuración predeterminado inseguro rastreado como CVE-2023-27524, con el código de explotación básico de prueba de concepto (PoC) ya publicado en GitHub.
Detectar los Intentos de Explotación de CVE-2023-27524
Dado que el código de explotación PoC de CVE-2023-27524 está disponible públicamente en GitHub, la detección oportuna y la defensa cibernética proactiva son críticas para proteger la infraestructura de la organización contra ataques potenciales de RCE. La plataforma SOC Prime para la defensa cibernética colectiva ofrece una regla Sigma curada destinada a la detección de patrones de explotación CVE-2023-275424:
Posible detección de IOC PoC de CVE-2023-27524 de Apache Superset (a través del servidor web)
Esta regla Sigma detecta intentos de explotación de CVE-2023-27524 que permiten a los atacantes obtener acceso inicial a los servidores Apache Superset vulnerables. La detección es compatible con 14 plataformas SIEM, EDR y XDR y está alineada con el marco de MITRE ATT&CK v12, abordando la táctica de Acceso Inicial con la técnica de Explotar una Aplicación Expuesta al Público (T1190) como la técnica correspondiente. Preste atención al hecho de que los hackers pueden modificar sus patrones de ataque para evadir la detección.
Para adelantarse a los atacantes y estar siempre al día con las amenazas asociadas a las vulnerabilidades emergentes, SOC Prime proporciona contenido de detección curado que ayuda a las organizaciones a optimizar los riesgos de su postura de ciberseguridad. Al hacer clic en el Explorar Detecciones botón, las organizaciones pueden obtener acceso instantáneo a aún más algoritmos de detección destinados a ayudar a identificar el comportamiento malicioso vinculado a la explotación de vulnerabilidades actuales. Para una investigación de amenazas optimizada, los equipos también pueden profundizar en metadatos relevantes, incluidas las referencias ATT&CK y CTI.
Análisis de CVE-2023-27524: Vulnerabilidad de RCE en Apache Superset
Horizon3.ai recientemente ha descubierto una nueva vulnerabilidad en los servidores Apache Superset, conocida como CVE-2023-27524, con una puntuación CVSS de 8.9. Según la investigación, aproximadamente dos tercios de todos los servidores de la empresa funcionan con esta configuración predeterminada insegura. La falla afecta a las instancias del servidor desde la versión 1.4.1 hasta la 2.0.1, que aplican el valor predeterminado de SECRET_KEY y potencialmente pueden ser expuestas por actores de amenazas para obtener acceso no autorizado a los dispositivos comprometidos. Entre las organizaciones afectadas se encuentran tanto grandes empresas como pequeñas compañías en múltiples sectores industriales, incluidas instituciones gubernamentales y universidades.
Al explotar con éxito, un adversario que conoce una clave de sesión de Apache Superset es capaz de iniciar sesión con privilegios de administrador, obtener acceso a las bases de datos y además modificarlas o eliminarlas, así como realizar RCE en las bases de datos comprometidas y en el propio servidor. Como resultado, los atacantes pueden recopilar datos sensibles, como credenciales de usuarios y bases de datos, lo que lleva a un compromiso adicional del sistema.
Con el creciente número de clientes de Superset y el uso generalizado de una configuración predeterminada, miles de organizaciones globales pueden estar expuestas a posibles ataques de RCE.
Para ayudar a las organizaciones a remediar la amenaza, el equipo de la empresa ha emitido una actualización con su versión del producto 2.1, que evita que el servidor se inicie si funciona con la configuración de clave secreta predeterminada. Sin embargo, el parche no es una solución definitiva, ya que las instancias del servidor instaladas a través de un archivo docker-compose o una plantilla helm siguen utilizando las claves predeterminadas.
Con el CVE-2023-27524 código de explotación PoC publicado por el equipo de Horizon3.ai en GitHub, las organizaciones pueden verificar si su servidor Apache Superset utiliza una configuración predeterminada peligrosa aplicando el script correspondiente. Si este último verifica que la instancia del servidor podría ser vulnerable, se recomienda encarecidamente a las organizaciones que actualicen su versión a la más reciente con el parche disponible o que la eliminen.
Mejore sus capacidades de detección de amenazas y acelere la velocidad de caza de amenazas equipado con Sigma, MITRE ATT&CK y Detection as Code para tener siempre a mano algoritmos de detección curados contra cualquier TTP adversario o cualquier vulnerabilidad explotable. Obtenga 800 reglas para CVEs existentes para defenderse proactivamente contra las amenazas más importantes. Acceda instantáneamente a más de 140 reglas Sigma de forma gratuita en https://socprime.com/ o obtenga todos los algoritmos de detección relevantes con On Demand en https://my.socprime.com/pricing/.
