1. 从数据看板到安全后门:CVE-2023-27524漏洞初探
如果你在公司里负责数据分析和可视化,那你很可能听说过或者正在使用Apache Superset。这家伙确实是个好帮手,能让你轻松地把数据库里那些枯燥的数字变成酷炫的图表和仪表盘,老板一看就懂。我自己在好几个项目里都用过它,搭建快,界面也漂亮,一度觉得它简直是数据团队的“瑞士军刀”。但就在去年,安全圈里爆出了一个关于它的大新闻——CVE-2023-27524。这个漏洞的名字听起来有点技术化,但说白了,它就像一个没上锁的后门,能让陌生人直接走进你家客厅,甚至翻看你家的账本。
这个漏洞的核心问题,其实出在一个叫SECRET_KEY的东西上。你可以把它想象成你家门锁的“唯一钥匙模具”。在Superset里,所有用户的登录状态(也就是会话Cookie)都是用这把“钥匙”来签名和加密的,服务器用它来验证你是不是合法的访客。问题在于,很多人在安装Superset的时候,图省事或者没注意,直接用了官方自带的那个“默认钥匙模具”。这就好比开发商给每户人家都装了锁,但用的都是同一把万能钥匙的模具,那任何一个知道这个模具样子的人,都能轻易造出一把能打开所有房门的钥匙。
攻击者利用的正是这一点。他们不需要知道你的用户名和密码,只需要向你的Superset网站发一个简单的请求,网站就会在回复中“礼貌地”送出一个用默认SECRET_KEY签名的会话Cookie。攻击者拿到这个Cookie后,用公开的默认密钥列表尝试破解,一旦成功,他们就能伪造一个属于任何用户(比如管理员)的Cookie。拿着这个伪造的“门禁卡”,他们就能大摇大摆地绕过登录页面,直接进入后台。我实测过,整个过程快的话几分钟就能搞定,对于一个暴露在公网且未修复的系统来说,这几乎是“门户大开”。
更让人头疼的是,这个漏洞的影响范围非常广。Apache Superset 2.0.1及之前的所有版本都受影响。这意味着在2023年初漏洞公开之前部署的大量系统,如果管理员没有按照安全规范去修改默认配置,就都处于风险之中。攻击者进来后能干嘛?轻则查看所有数据看板、仪表盘,窃取商业机密;重则通过后台的“SQL Lab”功能直接对连接的数据库执行任意SQL命令,这离真正的远程代码执行(RCE)也就一步之遥了。所以,这绝不是一个可以忽视的小问题。
2. 漏洞原理深潜:硬编码密钥如何打开潘多拉魔盒
要真正理解这个漏洞的危害,并有效地进行防御,我们得稍微钻得深一点,看看技术层面到底发生了什么。这并不复杂,我用一个生活中的类比你就明白了。
想象一下,Flask(Superset使用的Web框架)的会话管理机制就像一个制作“通行印章”的作坊。当用户成功登录后,作坊会制作一个特殊的印章(会话Cookie)盖在用户身上,之后用户每次进出(访问页面),保安(服务器)就检查这个印章来放行。这个印章之所以无法伪造,是因为作坊使用了一个独一无二的印章模具(SECRET_KEY)来制作它。关键在于,这个模具必须是绝对保密且随机生成的。
Apache Superset在安装时,为了方便用户快速启动,在它的配置文件 config.py 或环境变量里,预先放了好几个“示例模具”。比如下面这几个就是臭名昭著的默认值:
SECRET_KEYS = [
b'\x02\x01thisismyscretkey\x01\x02\\e\\y\\y\\h', # 版本 < 1.4.1
b'CHANGE_ME_TO_A_COMPLEX_RANDOM_SECRET', # 版本 >= 1.4.1
b'thisISaSECRET_1234', # 部署模板
b'YOUR_OWN_RANDOM_GENERATED_SECRET_KEY', # 文档示例
b'TEST_NON_DEV_SECRET' # Docker compose
]
看到第二个了吗?CHANGE_ME_TO_A_COMPLEX_RANDOM_SECRET。这个名字起得倒是挺诚实,直接告诉你“请把我换成一个复杂的随机密钥”。但现实是,很多开发者在测试环境甚至生产环境部署时,直接就用了这个值,或者用了其他那几个简单的字符串。这就相当于把印章模具直接挂在作坊门口,谁都能看得到、复制走。
漏洞利用的第一步,攻击者访问目标的 /login/ 页面。即使没有登录,Superset也会返回一个会话Cookie。这个Cookie本身可能不包含有效的用户信息,但它是用当前服务器配置的SECRET_KEY签名过的。攻击者拿到这个Cookie后,使用公开的默认密钥列表(就是上面那个列表)进行离线破解尝试。因为密钥是固定的,且计算量很小,破解几乎是瞬间完成的。
一旦确认了目标系统使用的是哪个默认密钥,攻击者就可以开始“伪造印章”了。他们使用这个密钥,签名一个包含任意用户ID(比如 {'_user_id': 1, 'user_id': 1})的数据结构。这里的用户ID为1,在Superset中通常对应第一个创建的用户,也就是管理员。伪造好的Cookie格式大致长这样:session=eyJfdXNlcl9pZCI6MSwidXNlcl9pZCI6MX0.ZZxxxx.xxxxxx。
最后,攻击者只需要将这个伪造的Cookie塞进浏览器或者攻击工具中,再次访问网站。服务器保安(Flask)会用同样的SECRET_

715

被折叠的 条评论
为什么被折叠?



