Giải Sinh viên An Toàn Thông Tin Asean tạm thời kết thúc, team MSEC_HUNT3R của mình đạt giải nhì bảng Jeopardy, tâm trạng mình vừa vui vừa buồn vì web năm nay không đạt được kì vọng của mình, nhưng mà thôi cũng có một cái CVE để đem ra phân tích :v

CVE-2023-27524 được phát hiện trên Apache Superset với điểm CVSS là 8,9 vào năm 2021 nhưng tới năm 2023 thì CVE mới được publish. Đây là một công cụ mở rộng và trực quan hóa dữ liệu mã nguồn mở. Bị ảnh hưởng từ phiên bản 1.4.1 đến 2.0.1, vấn đề xảy ra khi admin chạy Apache với cấu hình mặc định, kết quả là các máy chủ này như một căn nhà không có cửa vì ai cũng có chìa khóa. Dẫn đến attacker có thể "đăng nhập" với quyền admin và hoàn toàn có thể ngang nhiên nằm ngủ trên giường của vợ bạn mà không ai phát hiện ra :)) Trong bài viết này mình sẽ phân tích sâu vào cấu hình mặc định của cấu hình này. Bài phân tích dựa trên đây.

Superset được viết bằng thư viện Flask của python và sử dụng SECRET_KEY để xác thực người dùng. Đây là một phương pháp phổ biến cho các ứng dụng dựa trên Flask là sử dụng cookie phiên được ký bằng mật mã để quản lý trạng thái người dùng. Khi người dùng đăng nhập, ứng dụng web sẽ gửi cookie phiên bao gồm mã định danh người dùng quay lại trình duyệt của người dùng cuối.Sau đó ứng dụng web ký nó bằng SECRET_KEY , một giá trị được tạo ngẫu nhiên và lưu trữ trong tập cấu hình cục bộ. Mỗi khi có request, browser sẽ gửi cookie của session hiện tại cho ứng dụng web, và ứng dụng web sẽ xác thực người dùng dựa trên chữ ký trong cookie trước khi thực hiện request.