Dobësia kritike e sigurisë e gjetur në softuerin Metabase BI i nxit përdoruesit të përditësojnë sa më shpejt që të jetë e mundur

Metabase, një softuer i përdorur gjerësisht i inteligjencës së biznesit dhe vizualizimit të të dhënave, ka zbuluar së fundmi një cenueshmëri kritike të sigurisë që paraqet një rrezik të konsiderueshëm të përdoruesit. E meta është klasifikuar si "jashtëzakonisht e rëndë" dhe mund të çojë në ekzekutimin e kodit në distancë të para-autentifikuar në sistemet e prekura. Dobësia gjurmohet si CVE-2023-38646 dhe ndikon në botimet me burim të hapur të Metabase para versionit 0.46.6.1 dhe versionet e Metabase Enterprise përpara 1.46.6.1. Si masë paraprake, të gjithë përdoruesit duhet të përditësojnë versionin më të fundit të Metabase për të zbutur rreziqet e mundshme që lidhen me këtë çështje sigurie.

Në njëkëshillim të kohëve të fundit, Metabase zbuloi një defekt kritik sigurie që lejon një sulmues të ekzekutojë komanda arbitrare në serverin Metabase pa vërtetim, duke fituar akses të paautorizuar me të njëjtat privilegje. Pavarësisht se nuk ka prova të shfrytëzimit aktiv, të dhënat alarmante nga Fondacioni Shadowserver tregojnë se 5,488 nga 6,936 raste të Metabase janë të cenueshme që nga 26 korriku 2023. Rastet janë të përhapura në Shtetet e Bashkuara, Indi, Gjermani, Francë, Mbretërinë e Bashkuar, Brazil , dhe Australi. Përdoruesit duhet ta trajtojnë urgjentisht këtë çështje duke përditësuar në versionet më të fundit për të mbrojtur sistemet e tyre nga rreziqet e mundshme dhe aksesi i paautorizuar në të dhënat e ndjeshme.

Assetnote, një kompani që gjen dhe raporton gabimet e softuerit, e gjeti problemin në Metabase dhe i njoftoi për të. Çështja lidhet me mënyrën se si softueri lidhet me një bazë të dhënash dhe ndikon në një pjesë specifike të softuerit të quajtur "/API/setup/validates." Aktorët e këqij mund ta shfrytëzojnë këtë dobësi duke përdorur një kërkesë të projektuar posaçërisht që mashtron drejtuesin e bazës së të dhënave të softuerit, të quajtur H2, për të lejuar akses të paautorizuar. Kjo mund t'u japë atyre kontroll mbi sistemin dhe aftësinë për të ekzekutuar komanda nga distanca.

Për përdoruesit që nuk mund të aplikojnë menjëherë arna, marrja e masave shtesë mbrojtëse është thelbësore. Është shumë e këshillueshme që të bllokoni çdo kërkesë për pikën përfundimtare të cenueshme "/API/setup" për të mbrojtur sistemin. Për më tepër, do të ishte më mirë të izoloni shembullin e prekur të Metabase nga rrjeti kryesor i prodhimit për të kufizuar ekspozimin e tij. Duke vepruar kështu, sulmuesit e mundshëm do ta kenë më sfidues aksesin në pikën përfundimtare të cenueshme. Për më tepër, monitorimi vigjilent për kërkesat e dyshimta në pikën përfundimtare të identifikuar është thelbësor. Kjo do të ndihmojë në zbulimin e përpjekjeve të paautorizuara për të shfrytëzuar cenueshmërinë dhe për të ndërmarrë veprime në kohë për të parandaluar sulmet e mundshme.

Dobësia kritike e sigurisë e gjetur në softuerin Metabase BI i nxit përdoruesit të përditësojnë sa më shpejt që të jetë e mundur pamje nga ekrani