美国网络安全机构 CISA 周一宣布，在其已知利用漏洞 (KEV) 目录中又添加了 6 个条目，其中包括 2023 年 4 月披露的 Apache Superset 漏洞。

Apache Superset 是一个用 Python 编写的开源应用程序，允许用户探索和可视化大量数据。

Superset 基于 Flask Web 框架，它依赖于使用密钥签名的会话 cookie 进行身份验证。

该密钥本应是随机生成的，但去年 4 月，渗透测试公司 Horizon3.ai 警告称，安装后，Superset 会将密钥默认为特定值，并且可从互联网访问的大约 2,000 个 Superset 实例正在使用该密钥。默认键。

攻击者可以使用默认会话密钥以管理员身份登录这些 Superset 实例、访问连接到应用程序的数据库、篡改它们并远程执行代码。

“默认情况下，数据库连接设置为只读权限，但具有管理员访问权限的攻击者可以启用写入和 DML（数据模型语言）语句。强大的 SQL Lab 界面允许攻击者针对连接的数据库运行任意 SQL 语句。”Horizon3.ai 说道。

该问题最初于 2021 年发现，密钥值于 2022 年轮换为新的默认值，并在日志中添加了警告。Superset 版本 2.1 通过在密钥值为默认值时阻止服务器启动来解决该错误（现已跟踪为 CVE-2023-27524）。

随着 CISA 将该漏洞添加到KEV目录中，这意味着威胁行为者已开始在野外利用该漏洞。然而，该机构没有提供所观察到的攻击的具体细节。

CISA 还在 KEV 中添加了两个最近解决的 Adobe ColdFusion 缺陷（CVE-2023-38203 和 CVE-2023-29300）、Apple 产品中的代码执行错误（CVE-2023-41990）、Joomla 中的不正确访问检查问题（CVE- 2023-23752），以及 D-Link DSL-2750B 设备中的命令注入问题（CVE-2016-20017）。

约束性操作指令 (BOD) 22-01 要求联邦机构识别其网络中存在漏洞的产品，并在漏洞添加到 CISA 的 KEV 列表后 21 天内应用可用的补丁和缓解措施。

虽然 BOD 22-01 仅适用于联邦机构，但鼓励所有组织审查 KEV 目录并优先修补其中的漏洞，或者在无法采取缓解措施的情况下停止使用受影响的产品。