פגיעות אבטחה קריטית שנמצאה בתוכנת Metabase BI דוחקת במשתמשים לעדכן בהקדם האפשרי
Metabase, תוכנת בינה עסקית והדמיית נתונים בשימוש נרחב, חשפה לאחרונה פגיעות אבטחה קריטית המהווה סיכון משתמש משמעותי. הפגם סווג כ"חמור ביותר" ועלול להוביל לביצוע קוד מרחוק מאומת מראש במערכות מושפעות. מעקב אחר הפגיעות הוא CVE-2023-38646 ומשפיעה על מהדורות קוד פתוח של Metabase לפני גרסה 0.46.6.1 ו- Metabase Enterprise לפני 1.46.6.1. כאמצעי זהירות, כל המשתמשים חייבים לעדכן לגרסה העדכנית ביותר של Metabase כדי להפחית את הסיכונים הפוטנציאליים הקשורים לבעיית אבטחה זו.
בייעוץ שנערך לאחרונה, Metabase חשף פגם אבטחה קריטי המאפשר לתוקף לבצע פקודות שרירותיות בשרת Metabase ללא אימות, ולקבל גישה לא מורשית עם אותן הרשאות. למרות שאין עדות לניצול פעיל, נתונים מדאיגים מ-Shadowserver Foundation מצביעים על כך ש-5,488 מתוך 6,936 מקרי Metabase פגיעים נכון ל-26 ביולי 2023. המקרים נפוצים בארצות הברית, הודו, גרמניה, צרפת, בריטניה, ברזיל , ואוסטרליה. על המשתמשים לטפל בבעיה זו בדחיפות על ידי עדכון לגרסאות העדכניות ביותר כדי להגן על המערכות שלהם מפני סיכונים פוטנציאליים וגישה לא מורשית לנתונים רגישים.
Assetnote, חברה שמוצאת ומדווחת על באגים בתוכנה, מצאה את הבעיה ב- Metabase והודיעה להם עליה. הבעיה קשורה לאופן שבו התוכנה מתחברת למסד נתונים, והיא משפיעה על חלק ספציפי בתוכנה שנקרא "/API/setup/validates". שחקנים רעים עלולים לנצל את החולשה הזו באמצעות בקשה שתוכננה במיוחד שמרמה את מנהל ההתקן של מסד הנתונים של התוכנה, הנקרא H2, לאפשר גישה לא מורשית. זה יכול לתת להם שליטה על המערכת ויכולת לבצע פקודות מרחוק.
למשתמשים שאינם יכולים להדביק את המדבקות באופן מיידי, נקיטת אמצעי הגנה נוספים היא חיונית. רצוי מאוד לחסום כל בקשה לנקודת הקצה "/API/setup" הפגיעה כדי להגן על המערכת. יתר על כן, מוטב שתבודד את מופע Metabase המושפע מרשת הייצור המובילה כדי להגביל את החשיפה שלו. על ידי כך, לתוקפים פוטנציאליים יהיה יותר מאתגר לגשת לנקודת הקצה הפגיעה. בנוסף, מעקב ערני אחר בקשות חשודות לנקודת הקצה שזוהתה הוא חיוני. זה יעזור לזהות ניסיונות לא מורשים לנצל את הפגיעות ולנקוט פעולה בזמן כדי למנוע התקפות אפשריות.
פגיעות אבטחה קריטית שנמצאה בתוכנת Metabase BI דוחקת במשתמשים לעדכן בהקדם האפשרי צילומי מסך
