Krytyczna luka w zabezpieczeniach wykryta w oprogramowaniu Metabase BI zachęca użytkowników do jak najszybszej aktualizacji

Metabase, szeroko stosowane oprogramowanie do analizy biznesowej i wizualizacji danych, niedawno ujawniło krytyczną lukę w zabezpieczeniach, która stanowi poważne zagrożenie dla użytkownika. Luka została sklasyfikowana jako „niezwykle poważna” i może prowadzić do zdalnego wykonania wstępnie uwierzytelnionego kodu w systemach, których ona dotyczy. Luka jest śledzona jako CVE-2023-38646 i dotyczy wersji open source Metabase przed wersją 0.46.6.1 oraz wersji Metabase Enterprise przed 1.46.6.1. Jako środek ostrożności wszyscy użytkownicy muszą zaktualizować Metabase do najnowszej wersji, aby ograniczyć potencjalne ryzyko związane z tym problemem bezpieczeństwa.

W niedawnymporadniku firma Metabase ujawniła krytyczną lukę w zabezpieczeniach, która umożliwia osobie atakującej wykonywanie dowolnych poleceń na serwerze Metabase bez uwierzytelniania, uzyskując nieautoryzowany dostęp z tymi samymi uprawnieniami. Pomimo braku dowodów na aktywne wykorzystanie, alarmujące dane z Shadowserver Foundation wskazują, że na dzień 26 lipca 2023 r. 5488 z 6936 instancji Metabase było podatnych na ataki. Przypadki te są powszechne w Stanach Zjednoczonych, Indiach, Niemczech, Francji, Wielkiej Brytanii i Brazylii i Australii. Użytkownicy muszą pilnie rozwiązać ten problem, aktualizując je do najnowszych wersji, aby zabezpieczyć swoje systemy przed potencjalnymi zagrożeniami i nieautoryzowanym dostępem do poufnych danych.

Assetnote, firma zajmująca się wyszukiwaniem i zgłaszaniem błędów w oprogramowaniu, znalazła problem w Metabase i poinformowała ich o tym. Problem jest związany ze sposobem łączenia oprogramowania z bazą danych i wpływa na określoną część oprogramowania o nazwie „/API/setup/validates”. Złe osoby mogą wykorzystać tę słabość, używając specjalnie zaprojektowanego żądania, które oszukuje sterownik bazy danych oprogramowania, zwany H2, w celu umożliwienia nieautoryzowanego dostępu. Mogłoby to dać im kontrolę nad systemem i możliwość zdalnego wykonywania poleceń.

Dla użytkowników, którzy nie mogą natychmiast zastosować łat, podjęcie dodatkowych środków ochronnych jest kluczowe. Zdecydowanie zaleca się blokowanie wszelkich żądań kierowanych do podatnego na ataki punktu końcowego „/API/setup”, aby zabezpieczyć system. Co więcej, lepiej odizolować dotkniętą instancję Metabase od wiodącej sieci produkcyjnej, aby ograniczyć jej narażenie. W ten sposób potencjalnym atakującym będzie trudniej uzyskać dostęp do podatnego punktu końcowego. Ponadto niezbędne jest czujne monitorowanie podejrzanych żądań kierowanych do zidentyfikowanego punktu końcowego. Pomoże to wykryć nieautoryzowane próby wykorzystania luki i podjąć odpowiednie działania w celu zapobieżenia potencjalnym atakom.

Krytyczna luka w zabezpieczeniach wykryta w oprogramowaniu Metabase BI zachęca użytkowników do jak najszybszej aktualizacji zrzutów ekranu