VNG Cloud Logo

CVE-2023-38646: Metabase Pre-auth RCE​​​​​​​

Severity: Critical

Mô tả

Metabase là phần mềm trực quan hóa dữ liệu và Business Intelligence phổ biến.  

Đầu tuần này, Metabase nhận được báo cáo bảo mật về Metabase opensource và Metabase Enterprise đang tồn tại lỗ hổng, cho phép kẻ tấn công thực thi các lệnh tùy ý trên máy chủ (RCE), dưới đặc quyền của máy chủ. Lỗ hổng được định danh CVE-2023-38646.

Nhóm phân tích tìm được điểm yếu nằm ở kết nối JDBC trong pre-auth API endpoint /api/setup/validate. Bằng cách tạo và gửi các yêu cầu HTTP độc hại đến máy chủ Metabase, kẻ tấn công có thể thực thi mã từ xa mà không yêu cầu xác thực.  

Impact

Việc khai thác thành công lỗ hổng có thể dẫn đến compromise Metabase, thực thi mã từ xa, truy cập dữ liệu nhạy cảm, hoặc lan truyền mã độc đến các hệ thống khác.

Phiên bản bị ảnh hưởng

  • Metabase open source < 0.46.6.1
  • Metabase Enterprise < 1.46.6.1

Khuyến nghị  

Sys admin cần nâng cấp ngay Metabase tới các phiên bản không bị ảnh hưởng, cụ thể Metabase open source tới phiên bản 0.46.6.1, Metabase Enterprise tới 1.46.6.1 hoặc cao hơn.  

Hoặc có thể cập nhật sang các phiên bản được sửa lỗi khác: 0.45.4.1, 1.45.4.1, 0.44.7.1, 1.44.7.1, 0.43.7.2 và 1.43.7.2.  

Trường hợp chưa thể nâng cấp ngay, cần xem xét:

  1. Chặn requests tới /api/setup endpoints 
  2. Cô lập Metabase instance khỏi hệ thống mạng production 
  3. Tiếp tục theo dõi, forensic Metabase logs liên quan tới /api/setup endpoints. 


Tham khảo

https://nvd.nist.gov/vuln/detail/CVE-2023-38646 
https://blog.calif.io/p/reproducing-cve-2023-38646-metabase 
https://github.com/metabase/metabase/releases/tag/v0.46.6.1 
https://www.metabase.com/blog/security-advisory