Metabase BI 軟件中發現嚴重安全漏洞,敦促用戶盡快更新
Metabase 是一種廣泛使用的商業智能和數據可視化軟件,最近公佈了一個嚴重的安全漏洞,給用戶帶來了重大風險。該缺陷已被歸類為“極其嚴重”,可能導致在受影響的系統上執行預先身份驗證的遠程代碼。該漏洞編號為 CVE-2023-38646,影響 0.46.6.1 之前的 Metabase 開源版本和 1.46.6.1 之前的 Metabase Enterprise 版本。作為預防措施,所有用戶都必須更新到最新版本的 Metabase,以減輕與此安全問題相關的潛在風險。
在最近的一份通報中,Metabase 披露了一個嚴重的安全漏洞,該漏洞允許攻擊者在未經身份驗證的情況下在 Metabase 服務器上執行任意命令,從而以相同的權限獲得未經授權的訪問。儘管沒有證據表明存在主動利用,但 Shadowserver 基金會的令人震驚的數據表明,截至 2023 年 7 月 26 日,6,936 個 Metabase 實例中有 5,488 個實例容易受到攻擊。這些案例在美國、印度、德國、法國、英國和巴西普遍存在和澳大利亞。用戶必須通過更新到最新版本來緊急解決此問題,以保護其係統免受潛在風險和敏感數據的未經授權的訪問。
Assetnote 是一家發現並報告軟件錯誤的公司,它在 Metabase 中發現了問題並讓他們知道。該問題與軟件如何連接到數據庫有關,它影響軟件的特定部分,稱為“/API/setup/validates”。不良行為者可以通過使用專門設計的請求來欺騙軟件的數據庫驅動程序(稱為 H2)以允許未經授權的訪問,從而利用此弱點。這可以讓他們控制系統並能夠遠程執行命令。
對於無法立即應用補丁的用戶來說,採取額外的保護措施至關重要。強烈建議阻止對易受攻擊的“/API/setup”端點的任何請求,以保護系統。此外,您最好將受影響的元數據庫實例與主要生產網絡隔離,以限制其暴露。通過這樣做,潛在的攻擊者會發現訪問易受攻擊的端點更具挑戰性。此外,對已識別端點的可疑請求進行警惕監控也至關重要。這將有助於檢測未經授權的利用漏洞的嘗試,並及時採取措施防止潛在的攻擊。