CVE-2023-27524 Detecção: Nova Vulnerabilidade Expõe Milhares de Servidores Apache Superset a Ataques RCE
Índice:
A popular ferramenta de visualização e exploração de dados de código aberto, Apache Superset, está suscetível a uma vulnerabilidade de bypass de autenticação e execução remota de código (RCE), permitindo que agentes de ameaça obtenham acesso de administrador aos servidores alvo e coletem credenciais de usuários, comprometendo os dados. O bug descoberto é uma falha de configuração insegura padrão rastreada como CVE-2023-27524, com o código básico de prova de conceito de exploração (PoC) já lançado no GitHub.
Detectar Tentativas de Exploração CVE-2023-27524
Considerando que o código de exploração PoC CVE-2023-27524 está publicamente disponível no GitHub, a detecção oportuna e a defesa cibernética proativa são críticas para proteger a infraestrutura da organização contra potenciais ataques de RCE. A SOC Prime Platform para defesa cibernética coletiva oferece uma regra Sigma personalizada destinada à detecção de padrões de exploração CVE-2023-275424:
Detecção Possível de IOC de PoC CVE-2023-27524 do Apache Superset (via servidor web)
Esta regra Sigma detecta tentativas de exploração CVE-2023-27524, permitindo que atacantes obtenham acesso inicial aos servidores Apache Superset vulneráveis. A detecção é compatível com 14 plataformas SIEM, EDR e XDR e está alinhada com o MITRE ATT&CK framework v12, abordando a tática de Acesso Inicial com a técnica Exploit Public-Facing Application (T1190) como a correspondente. Por favor, preste atenção ao fato de que hackers podem modificar seus padrões de ataque para evitar detecção.
Para superar os atacantes e estar sempre atualizado com as ameaças associadas a vulnerabilidades emergentes, a SOC Prime fornece conteúdo de detecção personalizado que ajuda as organizações a otimizar seus perfis de cibersegurança contra riscos. Ao clicar no Explorar Detecções botão, as organizações podem obter acesso instantâneo a ainda mais algoritmos de detecção destinados a ajudar a identificar o comportamento malicioso relacionado à exploração de vulnerabilidades em tendência. Para investigação de ameaças simplificada, as equipes também podem se aprofundar em metadados relevantes, incluindo referências ATT&CK e CTI.
Análise CVE-2023-27524: Vulnerabilidade RCE Apache Superset
Horizon3.ai recentemente descobriu uma nova vulnerabilidade nos servidores Apache Superset, conhecida como CVE-2023-27524, com uma pontuação CVSS de 8.9. De acordo com a pesquisa, cerca de dois terços de todos os servidores da empresa operam com essa configuração padrão insegura. A falha impacta as instâncias de servidor da versão 1.4.1 até 2.0.1, que aplicam o valor padrão SECRET_KEY e podem ser potencialmente expostos por agentes de ameaça para obter acesso não autorizado aos dispositivos comprometidos. Entre as organizações impactadas estão tanto grandes empresas quanto pequenas empresas em vários setores, incluindo instituições governamentais e universidades.
Após uma exploração bem-sucedida, um adversário que conhece uma chave de sessão do Apache Superset é capaz de fazer login com privilégios de administrador, obter acesso aos bancos de dados e modificá-los ou deletá-los, além de realizar RCE nos bancos de dados comprometidos e no próprio servidor. Como resultado, os atacantes podem coletar dados sensíveis, como credenciais de usuários e bancos de dados, levando a um comprometimento adicional do sistema.
Com o número crescente de clientes do Superset e o uso generalizado de uma configuração padrão, milhares de organizações globais podem estar expostas a potenciais ataques de RCE.
Para ajudar as organizações a remediar a ameaça, a equipe da empresa emitiu uma atualização com sua versão de produto 2.1, que impede o servidor de iniciar se ele estiver operando com base na configuração de chave secreta padrão. No entanto, o patch não é uma bala de prata, já que as instâncias de servidor instaladas através de um arquivo docker-compose ou um modelo de helm continuam a utilizar as chaves padrão.
Com o CVE-2023-27524 código de exploração PoC lançado pela equipe Horizon3.ai no GitHub, as organizações podem verificar se seu servidor Apache Superset usa uma configuração padrão perigosa aplicando o script correspondente. Se este verificar que a instância do servidor pode estar vulnerável, é fortemente recomendado que as organizações atualizem sua versão para a mais recente com o patch disponível ou a removam.
Aumente suas capacidades de detecção de ameaças e acelere a busca por ameaças equipado com Sigma, MITRE ATT&CK e Detecção como Código para sempre ter algoritmos de detecção personalizados contra qualquer TTP adversário ou qualquer vulnerabilidade explorável em mãos. Obtenha 800 regras para CVEs existentes para se defender proativamente contra ameaças que mais importam. Alcance instantaneamente 140+ regras Sigma gratuitamente em https://socprime.com/ ou obtenha todos os algoritmos de detecção relevantes com On Demand em https://my.socprime.com/pricing/.
