CVE-2023-27524 Détection : Nouvelle Vulnérabilité Expose des Milliers de Serveurs Apache Superset aux Attaques RCE
Table des matières :
L’outil populaire open-source de visualisation et d’exploration de données, Apache Superset, est jugé vulnérable à un contournement d’authentification et à l’exécution de code à distance (RCE), permettant aux acteurs malveillants d’obtenir un accès administrateur aux serveurs ciblés et de recueillir davantage d’informations d’identification des utilisateurs et compromettre les données. Le bug découvert est un défaut de configuration par défaut non sécurisé suivi sous le code CVE-2023-27524, avec le code d’exploitation de preuve de concept (PoC) de base déjà publié sur GitHub.
Détecter les tentatives d’exploitation de CVE-2023-27524
Étant donné que le code d’exploitation PoC de CVE-2023-27524 est disponible publiquement sur GitHub, la détection rapide et la défense proactive contre le cyber est essentiel pour protéger l’infrastructure de l’organisation contre les potentielles attaques RCE. La plateforme SOC Prime pour la défense cyber collective offre une règle Sigma spécialisée visant à détecter les motifs d’exploitation de CVE-2023-275424 :
Détection possible d’IOC pour Apache Superset CVE-2023-27524 (via serveur web)
Cette règle Sigma détecte les tentatives d’exploitation de CVE-2023-27524 permettant aux attaquants d’accéder initialement aux serveurs Apache Superset vulnérables. La détection est compatible avec 14 plateformes SIEM, EDR et XDR et est alignée avec le cadre MITRE ATT&CK v12, traitant de la Tactique d’Accès Initial avec Exploitation d’une application accessible au public (T1190) comme technique correspondante. Veuillez prêter attention au fait que les hackers pourraient modifier leurs modèles d’attaque pour échapper à la détection.
Pour déjouer les attaquants et toujours suivre les menaces associées aux vulnérabilités émergentes, SOC Prime propose un contenu de détection personnalisé aidant les organisations à optimiser leur posture de cybersécurité par rapport au risque. En cliquant sur le bouton Explorer les Détections , les organisations peuvent avoir accès instantanément à encore plus d’algorithmes de détection visant à aider à identifier le comportement malveillant lié à l’exploitation des vulnérabilités en vogue. Pour une enquête sur les menaces simplifiée, les équipes peuvent également approfondir les métadonnées pertinentes, y compris les références ATT&CK et CTI.
Analyse CVE-2023-27524 : Vulnérabilité RCE Apache Superset
Horizon3.ai a récemment découvert une nouvelle vulnérabilité dans les serveurs Apache Superset, connue sous le code CVE-2023-27524, avec un score CVSS de 8,9. Selon les recherches, environ deux tiers de tous les serveurs de l’entreprise fonctionnent avec cette configuration par défaut non sécurisée. Le défaut impacte les instances de serveurs de la version 1.4.1 jusqu’à la 2.0.1, qui appliquent la valeur par défaut de SECRET_KEY et peuvent potentiellement être exposées par des acteurs malveillants pour obtenir un accès non autorisé aux appareils compromis. Parmi les organisations impactées se trouvent à la fois des grandes entreprises et des petites sociétés dans plusieurs secteurs industriels, y compris les institutions gouvernementales et les universités.
Après une exploitation réussie, un adversaire connaissant une clé de session Apache Superset est capable de se connecter avec des privilèges d’administrateur, d’accéder aux bases de données, et de les modifier ou supprimer, ainsi que de réaliser des RCE sur les bases de données compromises et le serveur lui-même. Par conséquent, les attaquants peuvent recueillir des données sensibles, comme les informations d’identification des utilisateurs et des bases de données menant à une compromission supplémentaire du système.
Avec le nombre croissant de clients de Superset et l’utilisation répandue d’une configuration par défaut, des milliers d’organisations mondiales peuvent être exposées à des attaques potentielles de type RCE.
Pour aider les organisations à remédier à la menace, l’équipe de l’entreprise a publié une mise à jour avec sa version de produit 2.1, qui empêche le serveur de démarrer s’il fonctionne basé sur la configuration de clé secrète par défaut. Cependant, le patch n’est pas une solution miracle puisque les instances de serveur installées via un fichier docker-compose ou un modèle helm continuent à utiliser les clés par défaut.
Avec le code PoC d’exploitation CVE-2023-27524 publié par l’équipe Horizon3.ai sur GitHub, les organisations peuvent vérifier si leur serveur Apache Superset utilise une configuration par défaut dangereuse en appliquant le script correspondant. Si ce dernier vérifie que l’instance du serveur pourrait être vulnérable, il est fortement recommandé aux organisations de mettre à jour leur version vers la dernière avec le patch disponible ou de la supprimer.
Boostez vos capacités de détection des menaces et accélérez la vitesse de chasse aux menaces équipés de Sigma, MITRE ATT&CK, et Detection as Code pour toujours avoir des algorithmes de détection personnalisés contre toute TTP ennemie ou toute vulnérabilité exploitable à portée de main. Obtenez 800 règles pour les CVE existants pour vous défendre proactivement contre les menaces les plus importantes. Accédez instantanément à plus de 140 règles Sigma gratuitement à https://socprime.com/ ou obtenez tous les algorithmes de détection pertinents à la demande sur https://my.socprime.com/pricing/.
