Sicurezza Informatica
Scoperta grave vulnerabilità di sicurezza nel software Metabase
Gli utenti di Metabase, un popolare software di business intelligence e visualizzazione dei dati, sono invitati ad aggiornare alla versione più recente a seguito della scoperta di un grave difetto di sicurezza.
Gli utenti di Metabase, un popolare software di business intelligence e visualizzazione dei dati, sono stati avvisati di aggiornare alla versione più recente a seguito della scoperta di un difetto di sicurezza “estremamente grave” che potrebbe portare all’esecuzione remota di codice pre-autenticato nelle installazioni interessate.
Dettagli sulla vulnerabilità di Metabase
La vulnerabilità, tracciata come CVE-2023-38646, riguarda le edizioni open source precedenti alla 0.46.6.1 e le versioni Enterprise di Metabase prima della 1.46.6.1. “Un aggressore non autenticato può eseguire comandi arbitrari con gli stessi privilegi del server Metabase sul server su cui si sta eseguendo Metabase”, ha dichiarato Metabase in un avviso rilasciato la scorsa settimana.
Il problema è stato inoltre risolto nelle seguenti versioni più vecchie:
- 0.45.4.1 e 1.45.4.1
- 0.44.7.1 e 1.44.7.1
- 0.43.7.2 e 1.43.7.2
Impatto della vulnerabilità e consigli per gli utenti
Nonostante non ci siano prove che la questione sia stata sfruttata in natura, i dati raccolti dalla Shadowserver Foundation mostrano che 5.488 delle 6.936 istanze totali di Metabase sono vulnerabili al 26 luglio 2023. La maggior parte delle istanze si trova negli Stati Uniti, India, Germania, Francia, Regno Unito, Brasile e Australia.
Assetnote, che ha affermato di aver scoperto e segnalato il bug a Metabase, ha detto che la vulnerabilità è dovuta a un problema di connessione JDBC nel punto finale dell’API “/api/setup/validate”, che permette a un attore malevolo di ottenere una shell inversa sul sistema tramite una richiesta appositamente creata che sfrutta un difetto di iniezione SQL nel driver del database H2.
Gli utenti che non possono applicare immediatamente le patch sono consigliati di bloccare le richieste al punto finale /api/setup, isolare l’istanza Metabase dalla rete di produzione e monitorare le richieste sospette al punto finale in questione.