Rilevamento CVE-2023-27524: Nuova Vulnerabilità Espone Migliaia di Server Apache Superset ad Attacchi RCE
Indice:
Il popolare strumento open-source di visualizzazione dei dati e esplorazione dei dati, Apache Superset, è dichiarato vulnerabile all’aggiramento dell’autenticazione e all’esecuzione di codice remoto (RCE), consentendo agli attori delle minacce di ottenere l’accesso amministrativo ai server bersaglio e di raccogliere ulteriormente credenziali degli utenti e compromettere i dati. Il bug scoperto è un difetto di configurazione predefinita insicura tracciato come CVE-2023-27524, con il codice di exploit base di prova di concetto (PoC) già rilasciato su GitHub.
Rileva i Tentativi di Sfruttamento di CVE-2023-27524
In considerazione del fatto che il codice di exploit PoC di CVE-2023-27524 è disponibile pubblicamente su GitHub, il rilevamento tempestivo e la difesa informatica proattiva sono critici per proteggere l’infrastruttura dell’organizzazione contro potenziali attacchi RCE. La piattaforma SOC Prime per la difesa informatica collettiva offre una regola Sigma curata mirata al rilevamento dei modelli di sfruttamento di CVE-2023-275424:
Possibile Rilevamento IOC PoC di CVE-2023-27524 Apache Superset (tramite server web)
Questa regola Sigma rileva i tentativi di sfruttamento di CVE-2023-27524 consentendo agli aggressori di ottenere l’accesso iniziale ai server Apache Superset vulnerabili. Il rilevamento è compatibile con 14 piattaforme SIEM, EDR e XDR ed è allineato con il quadro MITRE ATT&CK v12, affrontando la tattica di Accesso Iniziale con la tecnica Sfrutta Applicazione Pubblicamente Raggiungibile (T1190) come tecnica corrispondente. Si prega di prestare attenzione al fatto che i hacker potrebbero modificare i loro schemi d’attacco per sfuggire al rilevamento.
Per superare i hacker e rimanere sempre al passo con le minacce associate alle vulnerabilità emergenti, SOC Prime fornisce contenuti di rilevamento curati aiutando le organizzazioni a ottimizzare il rischio del loro posizionamento di sicurezza informatica. Cliccando sul pulsante Esplora Rilevamenti , le organizzazioni possono ottenere accesso immediato a ulteriori algoritmi di rilevamento mirati ad aiutare a identificare i comportamenti malevoli collegati allo sfruttamento di vulnerabilità di tendenza. Per indagini minacce semplificate, i team possono anche approfondire i metadati pertinenti, inclusi riferimenti ATT&CK e CTI.
Analisi di CVE-2023-27524: Vulnerabilità RCE Apache Superset
Horizon3.ai ha recentemente scoperto una nuova vulnerabilità nei server Apache Superset, conosciuta come CVE-2023-27524, con un punteggio CVSS di 8.9. Secondo la ricerca, approssimativamente due terzi di tutti i server della società funzionano su questa configurazione predefinita insicura. Il difetto impatta le istanze server dalla versione 1.4.1 fino alla 2.0.1, che applicano il valore predefinito di SECRET_KEY e possono essere potenzialmente esposte da attori delle minacce per ottenere accesso non autorizzato ai dispositivi compromessi. Tra le organizzazioni colpite vi sono sia grandi imprese che piccole aziende in più settori industriali, inclusi enti governativi e università.
Al termine dello sfruttamento con successo, un avversario che conosce una chiave di sessione di Apache Superset è in grado di accedere con privilegi di amministratore, ottenere l’accesso ai database e ulteriormente modificarli o cancellarli, nonché eseguire RCE sui database compromessi e sul server stesso. Di conseguenza, gli aggressori possono raccogliere dati sensibili, come credenziali utente e database, portando a un ulteriore compromesso del sistema.
Con il crescente numero di clienti di Superset e l’uso diffuso di una configurazione predefinita, migliaia di organizzazioni globali possono essere esposte a potenziali attacchi RCE.
Per aiutare le organizzazioni a mitigare la minaccia, il team dell’azienda ha rilasciato un aggiornamento con la versione 2.1 del prodotto, che impedisce al server di avviarsi se funziona basandosi sulla configurazione della chiave segreta predefinita. Tuttavia, la patch non è una bacchetta magica poiché le istanze server installate tramite un file docker-compose o un modello helm continuano a sfruttare le chiavi predefinite.
Con il CVE-2023-27524 codice di exploit PoC rilasciato dal team Horizon3.ai su GitHub, le organizzazioni possono verificare se il loro server Apache Superset utilizza una configurazione predefinita pericolosa applicando lo script corrispondente. Se quest’ultimo verifica che l’istanza del server potrebbe essere vulnerabile, si raccomanda fortemente alle organizzazioni di aggiornare la loro versione all’ultima disponibile con la patch o di rimuoverla.
Migliora le tue capacità di rilevamento delle minacce ed accelera la velocità della caccia alle minacce dotato di Sigma, MITRE ATT&CK e Detection as Code per avere sempre algoritmi di rilevamento curati contro qualsiasi TTP avversario o qualsiasi vulnerabilità sfruttabile a portata di mano. Ottieni 800 regole per CVE esistenti per difenderti proattivamente contro le minacce che contano di più. Ottieni immediatamente oltre 140 regole Sigma gratuitamente su https://socprime.com/ o ottieni tutti gli algoritmi di rilevamento pertinenti con On Demand su https://my.socprime.com/pricing/.
