CVE-2023-27524の検出：新たな脆弱性が数千のApache SupersetサーバーをRCE攻撃に晒す

人気のあるオープンソースのデータ可視化およびデータ探索ツールである Apache Superset は、認証バイパスおよびリモートコード実行（RCE）に脆弱であるとされており、攻撃者がターゲットサーバーへの管理者アクセスを取得し、ユーザー資格情報を収集してデータを侵害する可能性があります。発見されたバグは CVE-2023-27524 として追跡される安全でないデフォルトの構成の欠陥であり、基本的な証明コンセプトのエクスプロイトコード（PoC）はすでに GitHub で公開されています。

CVE-2023-27524 のエクスプロイト試行を検出

CVE-2023-27524 PoC エクスプロイトコードが GitHub に公開されていることを考慮すると、潜在的な RCE 攻撃から組織のインフラを保護するために、タイムリーな検出とプロアクティブなサイバー防御が重要です。集団サイバー防御のための SOC Prime プラットフォームは、CVE-2023-275424 のエクスプロイトパターン検出を目的としたキュレーションされた Sigma ルールを提供しています。

Apache Superset の CVE-2023-27524 PoC IOC 検出の可能性（Webサーバー経由）

この Sigma ルールは、攻撃者が脆弱な Apache Superset サーバーへの初期アクセスを取得することを可能にする CVE-2023-27524 のエクスプロイト試行を検出します。この検出は 14 の SIEM、EDR、および XDR プラットフォームと互換性があり、 MITRE ATT&CK フレームワーク v12 に合わせて、初期アクセスのタクティクスを扱い、公開しているアプリケーションを攻撃する手法（T1190）を使用しています。ハッカーが検出を回避するために攻撃パターンを変更する可能性があることに注意してください。

攻撃者を出し抜き、新たな脆弱性に関連する脅威に常に追いつくために、SOC Prime はキュレーションされた検出コンテンツを提供し、組織がサイバーセキュリティの体制を最適化できるよう支援します。ボタンをクリックすると、 検出を探る ことができ、トレンドの脆弱性のエクスプロイトに関連する悪意のある行動を識別するために役立つさらに多くの検出アルゴリズムに即時アクセスできます。スムーズな脅威調査のために、関連するメタデータ、ATT&CK そして CTI リファレンスを含む、確認することが可能です。

検出を探る

CVE-2023-27524 の分析: RCE Apache Superset の脆弱性

Horizon3.ai は最近、Apache Superset サーバーに新たな脆弱性を発見しました。この脆弱性は CVE-2023-27524 として知られ、CVSS スコアは 8.9 です。調査によると、全サーバーの約3分の2がこの不安定なデフォルト設定で動作しています。この欠陥は、バージョン 1.4.1 から 2.0.1 までのサーバーインスタンスに影響を与え、デフォルトの SECRET_KEY 値が適用されており、攻撃者により不正アクセスを得る可能性があります。影響を受ける組織には、大企業から小規模企業まで、政府機関や大学を含む複数の業界セクターが含まれます。

エクスプロイトが成功すると、Apache Superset のセッションキーを知る敵対者が管理者権限でログインすることが可能になり、データベースへのアクセス、さらにはそれらを変更または削除したり、侵害されたデータベースやサーバー自体で RCE を実行したりすることが可能になります。その結果、攻撃者はユーザーやデータベースの資格情報など敏感なデータを収集し、さらなるシステムの侵害につながります。

Superset の顧客数が増加し、デフォルト設定の広範な使用に伴い、数千のグローバル組織が潜在的な RCE 攻撃にさらされることになります。

脅威の軽減を支援するために、同社のチームは、デフォルトのシークレットキー設定でサーバーが動作する場合、起動を防ぐ 2.1 の製品版アップデートを発行しました。しかし、パッチは万能ではなく、docker-compose ファイルまたは helm テンプレートを通じてインストールされたサーバーインスタンスはデフォルトキーを利用し続けています。

CVE-2023-27524 に関する PoC エクスプロイトコード Horizon3.ai チームが GitHub でリリースしたものを使用して組織は自身の Apache Superset サーバーが危険なデフォルト構成を使用しているかどうかを確認できます。もしサーバーインスタンスが脆弱であることが確認された場合、組織は最新版にアップデートするか、削除することを強く推奨します。

Sigma、MITRE ATT&CK、Detection as Code で脅威検出能力を強化し、エクスプロイト可能な脆弱性や敵対者 TTP に対するキュレーションされた検出アルゴリズムを常に手元に準備して脅威ハンティングの速度を加速させましょう。既存の CVEs に対する 800 のルールを取得し、最も重要な脅威に対して積極的に防御します。 https://socprime.com/ または On Demand で関連するすべての検出アルゴリズムを取得できます。 https://my.socprime.com/pricing/.