آسیب پذیری با شناسه CVE-2021-40331 و شدت بحرانی معرفی شده است. این یک آسیب‌پذیری تخصیص مجوز نادرست برای منابع بحرانی در پلاگین Apache Ranger Hive است. هر کاربری با دسترسی SELECT بر روی پایگاه داده، می‌تواند مالکیت جدول را در Hive را تغییر دهد، و این زمانی رخ میدهد که پلاگین Apache Ranger Hive فعال است. این مشکل در پلاگین Apache Ranger Hive از نسخه 2.0.0 تا 2.3.0 وجود دارد.
توصیه:
 به کاربران توصیه می‌شود به نسخه 2.4.0 یا بعدی ارتقاء دهند.

مراجع

https://www.tenable.com/cve/CVE-2021-40331
https://www.cve.org/CVERecord?id=CVE-2021-40331
 

یک بدافزار اندرویدی به نام «Fleckpe» به تازگی در فروشگاه Google Play کشف شده است. این بدافزار، خود را به عنوان یک برنامه معتبر پنهان می‌کند و تاکنون توسط بیش از 620000 کاربر دانلود شده است. به گفته کسپرسکای، Fleckpe جدیدترین عضو خانواده بدافزارهاست که با ثبت نام کاربران در سرویس‌های premium، هزینه‌های غیرقانونی از کاربران دریافت می‌کند. این بدافزار به جمع دیگر برنامه های مخرب اندرویدی از جمله Jocker و Harly پیوسته است که از قربانیان ناآگاه برای منافع مالی سوء‌استفاده می‌کنند. اشتراک‌های غیرمجاز برای عاملان تهدید، درآمد ایجاد می‌کند که بخشی از هزینه‌های اشتراک ماهانه یا مادام سرویس‌های premium را دریافت می‌کنند. این بدافزار ویرایش تصویر، کتابخانه‌ای از عکس ها و برنامه‌های والپیپر برجسته برای ثبت نام کاربران در اشتراک‌های غیرمجاز جعل می‌کند. این بدافزار به‌عنوان برنامه‌های قانونی پنهان شده بود و به عنوان بخشی از برنامه‌های ویرایش عکس، بسته‌های والپیپر گوشی‌های هوشمند و سایر برنامه‌های رایج موجود در فروشگاه Google Play منتشر می‌شد.

کارشناسان امنیت سایبری در آزمایشگاه کسپرسکای اظهار داشتند که این بدافزار از سال گذشته فعال بوده است، اما شناسایی و مستندسازی آن اخیراً رخ داده است. در گزارشی از کسپرسکی آمده است که بدافزار تروجان با نادیده گرفتن کار می‌کند و تنها زمانی که کاربران هزینه‌های غیرمجاز برای خدمات را تشخیص می‌دهند، هرگز قصد خرید آن را نداشته‌اند، شناسایی می‌شود. این بدافزار با بارگیری یک کتابخانه بومی مخرب کار می‌کند که برنامه‌ای را برای تماس با عوامل تهدید اجرا می‌کند و در عین حال اطلاعات مربوط به دستگاه آلوده را به اشتراک می‌گذارد. این اطلاعات برای ارسال یک صفحه اشتراک پولی استفاده می شود که توسط تروجان در یک صفحه مرورگر وب نامرئی پر می شود تا اشتراک‌گذاری شروع شود، که برای جذب پول استفاده می شود. در همین حال، کاربران از اینکه عضو یک سرویس پولی شده اند، بی اطلاع هستند.
داده ها حاکی از آن است که این تروجان از سال 2022 فعال بوده است و در 11 برنامه در Google Play یافت شده است که اکنون حذف شده اند. با این حال، عوامل تهدید ممکن است برنامه های دیگری را که هنوز شناسایی نشده اند، مستقر کرده باشند. تروجان های اشتراکی با مراجعه کلاهبردارانی که به طور فزاینده ای به بازارهای رسمی مانند Google Play برای انتشار بدافزار خود روی می آورند، محبوبیت پیدا کرده اند. پیچیدگی فزاینده این تروجان ها به آنها اجازه داده است تا با موفقیت بررسی های ضد بدافزار دور بزنند و برای مدت طولانی ناشناخته بمانند.
قربانیان بدافزار Fleckpe عمدتاً از کشورهای زیر هستند:
•    تایلند
•    مالزی
•    اندونزی
•    سنگاپور
•    لهستان
یک کتابخانه بومی رمز شده، شامل افزونه ای مخرب، به محض اجرای برنامه بارگیری می شود و این کتابخانه بومی موجود در برنامه، تکه کدی را رمزگشایی و  اجرا می نماید.
 

تکه کد، با سرور C&C متعلق به عاملان تهدید ارتباط برقرار می کند و اطلاعات مهم دستگاه از جمله MCC و MNC را مخابره می کند. این اطلاعات می تواند به طور بالقوه، کشور مبدأ قربانی را آشکار سازد. یک صفحه اشتراک پولی در پاسخ به درخواست سرور C&C نمایش داده می شود. تروجان، با راه اندازی یک مرورگر وب نامرئی شروع کرده و سپس صفحه وب خاصی را با هدف اشتراک کاربر در یک سرویس باز می کند. اگر فرآیند به کد تأیید نیاز داشته باشد، بدافزار آن را از اعلان‌های دستگاه بازیابی می‌کند.

در زیر نام  پکیج برنامه های مخرب را که تحت آن توزیع می شوند، آورده شده است:

تمامی این برنامه های مخرب شناسایی شده از فروشگاه Google Play حذف شده اند هرچند این احتمال وجود دارد که عوامل تهدید برنامه های مخرب دیگری را منتشر کرده باشند که هنوز کشف نشده اند.

محافظت در برابر بدافزارها که از طریق بازارهای مورد اعتماد توزیع ‏می‌شود، می‌تواند دشوار باشد، کاربران می‌توانند برای بهبود امنیت دستگاه‌های خود قدم‌هایی بردارند. ‏تحلیلگران امنیتی توصیه می کنند هنگام دانلود و نصب برنامه ها، حتی از منابع قابل اعتماد مانند Google Play، احتیاط کنید. کاربران باید مراقب مجوزهایی باشند که به برنامه ها می دهند و از دادن دسترسی به داده های غیر ضروری اجتناب کنند. در واقع خواندن سیاست حفظ حریم خصوصی و ارزیابی دقیق مجوزهای درخواست شده توسط برنامه ها ممکن است به ‏شناسایی و جلوگیری از برنامه های مخرب کمک کند. همچنین توصیه می شود برنامه ها را از منابع تایید ‏نشده دانلود نکنید.‏
علاوه بر این، نصب یک آنتی ویروس معروف را برای شناسایی و محافظت در برابر این نوع تروجان برای کاهش چنین آلودگی ها و خسارات مالی توصیه می کنند.
 منابع خبر

[2]https://www.thehindu.com/sci-tech/technology/internet/android-malware-on-google-play-store-apps-beh…

محققان Threatmon یک حمله بدافزاری هدفمند از نوع درب پشتی و با استفاده از PowerShell را از گروه جاسوسی APT41 شناسایی کردند که قادر است انواع روشهای شناسایی‌ را دور بزند و به مهاجمان اجازه دهد در سیستم‌عامل ویندوز قربانی، دستوراتی را اجرا ، فایل‌ دانلود یا آپلود کنند و اطلاعات حساس را جمع‌آوری کنند. برای مطالعه بیشتر اینجا کلیک نمایید.

آسیب‌پذیری با شناسه CVE-2023-29489 در cPanel که یک نرم افزار کنترل پنل میزبانی وب (web hosting control panel) است و به طور گسترده در سراسر اینترنت مستقر شده، شناسایی شده است. این آسیب‌پذیری امکان اجرای XSS رفلکتت (reflected cross-site scripting) را بدون هیچ گونه احراز هویت در نسخه‌های آسیب‌دیده cPanel فراهم می‌سازد. آسیب‌پذیری XSS صرف نظر از اینکه پورت‌های مدیریت (2080، 2082، 2083، 2086 و ...) cPanel به صورت خارجی در معرض دید قرار می‌گیرند یا خیر، قابل بهره‌برداری است. وب سایت‌های موجود در پورت 80 و 443 نیز در صورت استفاده از cPanel در برابر XSS آسیب‌پذیر هستند و دسترسی به دایرکتوری /cpanelwebcall/ در این پورت‌ها (80 و 443) امکان‌پذیر است زیرا توسط آپاچی به پورت‌های مدیریت cPanel پروکسی می‌شود. به همین دلیل، یک مهاجم نه تنها می‌تواند به پورت‌های مدیریت cPanel، بلکه به برنامه‌هایی که روی پورت‌های 80 و 443 در حال اجرا هستند نیز حمله کند. با توجه به این که پورت‌های مدیریت cPanel در برابر این حمله آسیب‌پذیر هستند، یک مهاجم می‌تواند از این آسیب‌پذیری برای ربودن نشست  cPanel یک کاربر احرازهویت شده استفاده کند.
پس از اسکن و بررسی پورت‌های باز وب سرور (WebHost Manager (WHM)) نظیر 2080، 2082، 2083، 2086 و ... در صورت اجرای پیلودها می‌توان از این آسیب‌پذیری بهره‌برداری نمود.

سامانه‌ها/خدمات تحت تأثیر
این آسیب‌پذیری cPanel نسخه‌های قبل از 11.109.9999.116 را تحت تأثیر قرار می‌دهد.
روش برطرف سازی
نسخه‌های آسیب‌پذیر به‌روزرسانی و همچنین به‌روزرسانی خودکار فعال شود.
منابع خبر

[1]    https://nvd.nist.gov/vuln/detail/CVE-2023-29489
[2]    https://blog.assetnote.io/2023/04/26/xss-million-websites-cpanel/

آسیب‌پذیری با شناسه CVE-2023-28771 و امتیاز (9.8) در Zyxel Firewall کشف شده است. شرکت سازنده تجهیزات شبکه Zyxel، وصله‌هایی را برای یک نقص امنیتی مهم در دستگاه فایروال خود منتشر کرده است، که می‌تواند برای اجرای کد از راه دور در سیستم‌های آسیب‌پذیر مورد استفاده قرار گیرد. مدیریت نادرست پیام خطا در برخی از نسخه‌های فایروال می‌تواند به یک مهاجم احراز هویت نشده اجازه دهد تا با ارسال بسته‌های دستکاری شده به دستگاه آسیب‌پذیر، برخی از دستورات سیستم عامل را از راه دور اجرا کند.
محصولاتی مانند ATP (نسخه‌های ZLD V4.60 تا V5.35، وصله شده در ZLD 5.36 )، USG FLEX (نسخه‌های ZLD V4.60 تا V5.35، وصله شده در  ZLD 5.36 )، VPN (نسخه‌های ZLD V4.60 تا V5.35، وصله شده در ZLD 5.36)، ZyWALL/USG (نسخه‌های ZLD V4.60 تاV4.73 ، وصله شده در ZLD V4.73 Patch1 ) تحت تاثیر این آسیب‌پذیری هستند.
منابع خبر

[2] https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-28771

یک آسیب‌پذیری با شناسه CVE-2023-29552 و امتیاز (8.6) در پروتکل موقعیت مکانی سرویس (SLP) کشف شده است که می‌تواند حملات حجمی انکار سرویس (DoS) علیه اهداف انجام دهد. پروتکل موقعیت مکانی، چارچوب مقیاس پذیری را برای کشف و انتخاب سرویس های شبکه فراهم می کند. با استفاده از این پروتکل، رایانه‌هایی که از اینترنت استفاده می‌کنند، دیگر نیازی به پیکربندی ثابت خدمات شبکه، برای برنامه های کاربردی مبتنی بر شبکه ندارند .در این صورت، رایانه‌ها قابل حمل‌تر می‌شوند و قادر به برآورده کردن خواسته‌های مدیریت سیستم شبکه هستند. پروتکل به عنوان یک دفترچه آدرس برای خدمات داخلی در شبکه ها در نظر گرفته شده است. مهاجمانی که از این آسیب‌پذیری سوء استفاده می‌کنند، می‌توانند از نمونه‌های آسیب‌پذیر برای راه‌اندازی حملات انکار سرویس (DoS) گسترده با ضریب 2200 برابر استفاده کنند که به طور بالقوه آن را به یکی از بزرگترین حملات تقویت‌کننده‌ای تبدیل می‌کند که تاکنون گزارش شده است.این آسیب‌پذیری با شدت بالا، به مهاجم غیر قانونی و از راه دور اجازه می‌دهد تا سرویس‌های دلخواه خود را ثبت کند و آنها را قادر می‌سازد تا از طریق ترافیک جعلی UDP، باعث انکار سرویس (DoS) با ضریب تقویت قابل توجهی شوند. 
 محصولات تحت تأثیر
 این آسیب‌پذیری بیش از 2000 سازمان جهانی و بیش از54000 نمونه SLP را که از طریق اینترنت در دسترس هستند، شامل VMWare ESXi Hypervisor، پرینترهای KonicaMinolta، روترهای Planex، ماژول یکپارچه SMC IPMI، IBM(IMM) و665  نوع محصول دیگر را تحت تاثیر قرار می‌دهد.
توصیه‌های امنیتی
 VMware با بررسی این آسیب‌پذیری، مشخص کرده است که نسخه‌های ESXi که در حال حاضر پشتیبانی می‌شوند (خطوط ESXi 7.x ,8.x ) تحت تأثیر قرار نمی‌گیرند و این آسیب‌پذیری نسخه‌های قدیمی‌تری، که به پایان پشتیبانی عمومی (EoGS) رسیده‌اند را تحت تاثیر قرار می‌دهد. VMware  توصیه می‌کند که بهترین گزینه برای رسیدگی بهCVE-2023-29552 ، ارتقا به یک خط انتشار پشتیبانی‌شده است که تحت تأثیر آسیب‌پذیری قرار نگیرد .مدیران ESXi باید اطمینان حاصل کنند که هاست ESXi آنها در معرض شبکه های نامعتبر قرار نگرفته و همچنین SLP را طبق دستورالعمل های KB76372 غیرفعال کنند.
منابع خبر

[1] https://nvd.nist.gov/vuln/detail/CVE-2023-29552
[2] https://access.redhat.com/security/cve/CVE-2023-29552
[3] https://www.cve.org/CVERecord?id=CVE-2023-29552

مایکروسافت هشداری برای آسیب‌پذیری با شناسه CVE-2023-21554 و دارای شدت بحرانی (امتیاز 9.8) معرفی کرده است. این ضعف امنیتی سازوکار Queuing را درMicrosoft Message  تحت تاثیر قرار می‌دهد. برای سوءاستفاده از این آسیب‌پذیری، مهاجم باید Packet دستکاری شده MSMQ را به سرور MSMQ ارسال کند که منجر به اجرای کد مخرب از راه دور در سمت سرور می‌شود. کاربرانی که می‌خواهند بدانند که آیا هدف سوءاستفاده از این آسیب‌پذیری قرار گرفته‌اند، می‌توانند بررسی کنند که آیا سرویس Message Queuing در سیستم آنها فعال است و یا ترافیک شبکه از طریق پورت TCP 1801 در حال شنود است.

 این سرویس  روی پورت 1801 فعال است که می‌توانید مسدود کنید تا جلوی حمله گرفته شود اما چون این کار احتمال اختلال در برنامه ها رو دارد ، توصیه شده تا بروزرسانی را اعمال کنید.

مرجع

محققان شاهد افزایش حملات در پی گسترش ابزار سرقت اطلاعات EvilExtractor هستند که برای سرقت اطلاعات حساس کاربران استفاده می شود. در حالی که به عنوان یک ابزار قانونی به بازار عرضه می شود، شرکت Fortinet نیز در گزارشی اعلام کرده است که مجرمان سایبری از EvilExtractor به عنوان یک بدافزار سرقت اطلاعات استفاده می کنند. EvilExtractor  که از ۲۲ اکتبر ۲۰۲۲ توسط کاربری به نام Kodex در انجمن‌های جرایم سایبری مانند  Cracked به فروش می‌رسد. این بدافزار مدام به‌روزرسانی شده و دارای ماژول‌های گوناگونی برای استخراج فراداده‌های سیستم، رمزعبورها و کوکی‌های چندین مرورگر وب و همچنین ثبت کردن ضربه کلیدها و حتی عمل کردن به‌عنوان یک باج‌افزار از طریق رمزگذاری فایل‌های سیستم هدف می‌باشد. همچنین فورتی‌نت گفته است این بدافزار به‌عنوان بخشی از یک کارزار فیشینگ ایمیل استفاده شده که در ۳۰ مارس ۲۰۲۳ شناسایی شده است. ایمیل‌های این کارزار، گیرنده را فریب می‌دهند تا یک فایل اجرایی را که در قالب یک سند PDF مخفی شده است به‌بهانه‌ی تأیید جزئیات حساب‌شان اجرا کند. باینری Account-info.exe یک برنامه‌ی پایتون مبهم است که به‌گونه‌ای طراحی شده که یک بارگذار .NET  را اجرا کند که از اسکریپت Base64-encoded PowerShell برای اجرای EvilExtractor استفاده می‌کند. این بدافزار علاوه بر جمع‌آوری فایل‌ها می‌تواند وبکم را نیز فعال کند و اسکرین‌شات بگیرد. همچنین ذکر شده است که EvilExtractor  به‌عنوان یک سارق اطلاعات جامع با ویژگی‌های مخرب متعدد، از جمله قابلیت‌های باج‌افزاری، استفاده می‌شود. اسکریپت PowerShell آن می‌تواند درقالب بارگذار .NET یا PyArmor از شناسایی گذر کند. در مدت زمانی اندک، سازنده‌ی آن چندین عملکرد را به‌روزرسانی کرده و پایداری آن را افزایش داده است. این یافته‌ها درحالی است که واحد مقابله با تهدید Secureworks جزئیات یک کارزار تبلیغ بدافزار و مسموم سازی سئو برای انتشار بدافزار Bumblebee، از طریق فایل‌های نصب تروجان ‌شده‌ی نرم‌افزارهای قانونی را منتشر کرده است.
Bumblebee  اولین بار توسط گروه تحلیل تهدید گوگل و Proofpoint ثبت شد، یک بارگذار ماژولی است که عمدتاً از طریق تکنیک‌های فیشینگ منتشر می‌شود. حدس زده می‌شود می‌شود عاملانی مرتبط به عملیات باج‌افزاری Conti آن را به‌عنوان جایگزینی برای BazarLoader تولید کرده‌اند. در ماه‌های اخیر، پس از اینکه مایکروسافت Macroها را به‌صورت پیشفرض از فایل‌های Office دانلودشده از اینترنت مسدود کرد، استفاده از مسموم‌سازی سئو و تبلیغات مخرب برای هدایت کاربرانی که ابزارهای محبوبی مانند ChatGPT، Cisco AnyConnect، Citrix Workspace و Zoom را جستجو می‌کنند به وبسایت‌های غیرمجاز حاوی فایل‌های نصب آلوده افزایشی شدید داشته است.
در یک رویداد که این شرکت امنیت سایبری تشریح کرده است، عامل تهدید از بدافزار Bumblebee برای کسب نقطه‌ی ورود و پس از سه ساعت حرکت جانبی و پیاده‌سازی Cobalt Strike و نرم‌افزارهای قانونی دسترسی از راه دوری مانند AnyDesk و Dameware استفاده کرده است. این حمله درنهایت پیش از اینکه به مرحله‌ی نهایی باج‌افزار برسد مختل شد. به‌گفته‌ی Secureworksتوصیه شده است که به‌منظور تعدیل این حمله و حملات مشابه، سازمان‌ها باید اطمینان حاصل کنند که فایل‌های نصب نرم‌افزارها و آپدیت‌ها تنها از وبسایت‌های شناخته‌شده و قابل‌اعتماد دانلود شوند. کاربران نباید امتیاز نصب نرم‌افزار و اجرای اسکریپت‌ها روی کامپیوتر خود داشته باشند.

مراجع

https://www.bleepingcomputer.com/news/security/evilextractor-malware-activity-spikes-in-europe-and-the-us/

https://www.fortinet.com/blog/threat-research/evil-extractor-all-in-one-stealer

سیسکو آسیب‌پذیری روز صفر را در نرم‌افزار Prime Collaboration Deployment (PCD) این شرکت گزارش داده است که می‌تواند برای حملات اسکریپت بین سایتی، مورد سوء استفاده قرار گیرد. این ابزار مدیریت سرور، مدیران را قادر می‌سازد تا ارتقاء را بر روی سرورهای موجود در سازمان خود انجام دهند.
مهاجمان احراز هویت نشده با بهره‌برداری موفقیت‌آمیز می‌توانند حملات اسکریپت بین سایتی را از راه دور انجام دهند، اما نیاز به تعامل کاربر دارد. همچنین شرکت سیسکو توضیح داده است که این آسیب پذیری به دلیل است که رابط مدیریت مبتنی بر وب، ورودی های ارائه شده توسط کاربر را به درستی تایید نمی کند.  مهاجم می تواند با متقاعد کردن کاربر، با کلیک بر روی یک پیوند ساخته شده از این آسیب پذیری سوء استفاده کند.
در نهایت یک اکسپلویت موفق می تواند به مهاجم اجازه دهد تا کد اسکریپت دلخواه را در زمینه رابط آسیب دیده اجرا کند یا به اطلاعات حساس و مبتنی بر مرورگر دسترسی پیدا کند. سیسکو به‌روزرسانی‌های امنیتی را برای ماه آینده منتشر خواهد کرد و در حال حاضر هیچ راه حلی برای جلوگیری از حمله در دسترس نیست.
مراجع
 

https://www.bleepingcomputer.com/news/security/cisco-discloses-xss-zero-day-flaw-in-server-management-tool/

https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-pcd-xss-jDXpjm7

آسیب‌پذیری با شناسه CVE-2023-27524 با شدت بالا و امتیاز 8.9 در محصولات Apache Superset یافت شده است. Superset  روی پایتون و فریمورک Flask توسعه داده شده است. یکی از روشهای رایج در برنامه های Flask  برای مدیریت وضعیت کاربر، استفاده از کوکی های جلسه امضاء و رمزنگاری شده است. وقتی یک کاربر به سایت لاگین را انجام می‌دهد، برنامه یک کوکی جلسه (session cookie)، که شامل شناسه کاربر است به مروگر آن ارسال می‌کند. برنامه وب، این کوکی را با SECRET_KEY امضاء میکند، که یک مقدار تصادفی است و در یک فایل پیکربندی محلی ذخیره می‌شود. مرورگر با هر درخواست وب ، این کوکی جلسه را به برنامه وب می فرستد و برنامه، قبل از پردازش درخواست و با بررسی ان در هر درخواست، کاربر را مجددا احرازهویت می‌کند.
در حقیقت امنیت برنامه وب، بستگی به مخفی بودن SECRET_KEY دارد. اگر SECRET_KEY فاش شود، مهاجم میتواند کوکی خود را بسازد و کارهایی که برای کاربر با امتیاز بالا در نظر گرفته شده را انجام دهد. یک ابزار بنام Flask Unsign برای هک این موارد توسعه داده شده است، این ابزار  برای جمع آوری، رمزگشایی کردن، بروت فورس و ساخت کوکی های جلسه برنامه های فلسک با حدس زدن SECRET_KEY  توسعه داده شده است.
اگر سرور Superset در پشت یک SSO قرار نگرفته باشد، مهاجم میتواند با استفاده از ابزار flask-unsign مقدار user_id یا _user_id رو به مقدار 1 تغییر بدهد و یه کوکی جعلی بسازد و درنهایت بعنوان ادمین وارد سیستم شود. مقدار 1 نشان دهنده اولین کاربر Superset است که اغلب همون مدیر محسوب میشود. مهاجم، کوکی جعلی رو میتواند در local storage مرورگر خود تنظیم کند و با Refresh کردن صفحه، ادمین محسوب شود. برای سرورهایی که پشت SSO قرار دارند، مهاجم نیاز به کارهای بیشتر دارد تا بتواند user_id را بدست آورد.
همانطور که بیان شد Superset ، برای مصورسازی و کاوش روی داده طراحی شده است. بنابراین اگر یک مهاجم بعنوان ادمین وارد شود، میتواند این داده ها را تغییر یا حذف کند. به طور پیش فرض، دسترسی اتصالات دیتابیس ها بصورت فقط خواندنی است، اما مهاجم با امتیاز مدیر، میتواند دسترسی نوشتن یا DML را هم فعال کند. رابط SQL Lab این امکان را برای مهاجم فراهم میکند تا دستورات دلخواه SQL را روی دیتابیس اجرا کند. بسته به امتیاز کاربر دیتابیس، مهاجم علاوه بر خواندن داده ها، دستکاری یا حذف آنها ، میتواند روی سرور دیتابیس، کد دلخواه خود را اجرا کند.
راههای اصلاح:
در بین 2000 سرور آسیب پذیر، شرکتهای بزرگ، کوچک، سازمانهای دولتی و دانشگاهها وجود دارند. محققان برای برخی از آنها، هشدارهایی را صادر کردند، که بعد از مدت کوتاهی، پیکربندی را اصلاح کردند.
همچنین بیان شده است اگر از Superset استفاده میکنید، می‌توانید با اسکریپت زیر، آسیب پذیر بودن را بررسی کنید. اسکریپت با استفاده از ابزار flask-unsign و کلیدهای پیش فرض این موضوع را بررسی میکند.
 

% python3 CVE-2023-27524.py -h                           

usage: CVE-2023-27524.py [-h] --url URL [--id ID] [--validate] [--timeout TIMEOUT]

 optional arguments:

  -h, --help                    show this help message and exit

  --url URL, -u URL     Base URL of Superset instance

  --id ID                        User ID to forge session cookie for, default=1

  --validate, -v              Validate login

  --timeout TIMEOUT, -t TIMEOUT

  Time to wait before using forged session cookie, default=5s

اگر اسکریپت نشان دهد که آسیب پذیر هستید و سرور از طریق اینترنت قابل دسترسی است، هر چه سریعتر ان را اصلاح کنید یا از معرض دیده شدن از طریق اینترنت جلوگیری کنید.

مراجع

https://www.horizon3.ai/cve-2023-27524-insecure-default-configuration-in-apache-superset-leads-to-remote-code-execution/

https://github.com/horizon3ai/CVE-2023-27524

https://nvd.nist.gov/vuln/detail/CVE-2023-27524