I sommeren i år, en informationssikkerhed forsker kendt som jnyryan opdaget et problem i Apache Solr. Nu, sikkerhed fagfolk har udgivet en udnytte for RCE problem i Apache Solr.
Than sårbarhed blev skjult i solr.in.sh konfigurationsfil, der som standard er inkluderet i alle versioner af Solr.Så, standardkonfigurationen indebærer de medfølgende ekstraudstyr ENABLE_REMOTE_JMX_OPTS, hvilken, på tur, Åbner Havn 8983 for fjernforbindelser.
Hvis du bruger standard solr.in.sh fil fra de berørte udgivelser, derefter JMX overvågning vil blive aktiveret og eksponeret på RMI_PORT (standard = 18.983), uden godkendelse. Hvis denne port er åbnet for indgående trafik i din firewall, så alle med netværksadgang til dine Solr knuder vil være i stand til at få adgang JMX, som igen kan give dem mulighed for at uploade ondsindet kode til udførelse på Solr serveren”, - skrivninger IS specialist, kendt som jnyryan.
Apache udviklerne fundet problemet næsten harmløse, fordi i værste fald, en hacker kunne kun adgang Solr overvågningsdata, som er særlig ubrugelig.
imidlertid, ved udgangen af oktober, På GitHub blev offentliggjort en PoC udnytte, der viser, at en hacker kunne bruge det samme problem at fjernstyre udføre vilkårlig kode (RCE). Den udnytter anvendes åbne port 8983 at gøre det muligt for Apache Velocity skabeloner på Solr serveren, og derefter bruges denne funktion til download og køre skadelig kode. Værre, efter et par dage, et sekund, forbedret udnytte dukkede op på netværket, hvilket gør det endnu nemmere at udføre angreb.
Læs også: Phoenix keylogger deaktiverer flere end 80 sikkerhedsprodukter
Efter det, udviklerne indså deres fejl og udstedte en opdateret sikkerhed Henstilling. Sårbarheden er nu spores som CVE-2019-12.409. Forskere minde brugerne om, at det er bedre at holde Solr servere bag firewalls, da disse systemer bør ikke åbent ”surf” Internettet.
Det er stadig uklart, hvilke versioner af Sorl er påvirket af problemet. I øjeblikket Solr udviklere skriver om versioner 8.1.1 og 8.2.0, men holdbar eksperter rapport at sårbarheden er farligt for Solr fra version 7.7.2 til den nyeste version 8.3.
Mitigation:
Sørg for at dit effektive solr.in.sh fil har ENABLE_REMOTE_JMX_OPTS indstillet til ‘falsk‘ på hver Solr node og derefter genstarte Solr. Bemærk, at den effektive solr.in.sh fil kan opholde sig i / etc / defaults / eller et andet sted, afhængigt af installation. Du kan derefter validere, at den ’com.sun.management.jmxremote *’ familie af egenskaber er ikke angivet i den “Java Properties” sektion af Solr Admin UI, eller konfigureret på en sikker måde.
