IS-specialister udgivet en udnytte for RCE problem i Apache Solr

I sommeren i år, en informationssikkerhed forsker kendt som jnyryan opdaget et problem i Apache Solr. Nu, sikkerhed fagfolk har udgivet en udnytte for RCE problem i Apache Solr.

Så, standardkonfigurationen indebærer de medfølgende ekstraudstyr ENABLE_REMOTE_JMX_OPTS, hvilken, på tur, Åbner Havn 8983 for fjernforbindelser.

Hvis du bruger standard solr.in.sh fil fra de berørte udgivelser, derefter JMX overvågning vil blive aktiveret og eksponeret på RMI_PORT (standard = 18.983), uden godkendelse. Hvis denne port er åbnet for indgående trafik i din firewall, så alle med netværksadgang til dine Solr knuder vil være i stand til at få adgang JMX, som igen kan give dem mulighed for at uploade ondsindet kode til udførelse på Solr serveren”, - skrivninger IS specialist, kendt som jnyryan.

Apache udviklerne fundet problemet næsten harmløse, fordi i værste fald, en hacker kunne kun adgang Solr overvågningsdata, som er særlig ubrugelig.

imidlertid, ved udgangen af ​​oktober, På GitHub blev offentliggjort en PoC udnytte, der viser, at en hacker kunne bruge det samme problem at fjernstyre udføre vilkårlig kode (RCE). Den udnytter anvendes åbne port 8983 at gøre det muligt for Apache Velocity skabeloner på Solr serveren, og derefter bruges denne funktion til download og køre skadelig kode. Værre, efter et par dage, et sekund, forbedret udnytte dukkede op på netværket, hvilket gør det endnu nemmere at udføre angreb.

Læs også: Phoenix keylogger deaktiverer flere end 80 sikkerhedsprodukter

Efter det, udviklerne indså deres fejl og udstedte en opdateret sikkerhed Henstilling. Sårbarheden er nu spores som CVE-2019-12.409. Forskere minde brugerne om, at det er bedre at holde Solr servere bag firewalls, da disse systemer bør ikke åbent ”surf” Internettet.

Det er stadig uklart, hvilke versioner af Sorl er påvirket af problemet. I øjeblikket Solr udviklere skriver om versioner 8.1.1 og 8.2.0, men holdbar eksperter rapport at sårbarheden er farligt for Solr fra version 7.7.2 til den nyeste version 8.3.

Mitigation:

Make sure your effective solr.in.sh file has ENABLE_REMOTE_JMX_OPTS set to ‘falsk‘ on every Solr node and then restart Solr. Bemærk, at den effektive solr.in.sh fil kan opholde sig i / etc / defaults / eller et andet sted, afhængigt af installation. You can then validate that the ‘com.sun.management.jmxremote*’ family of properties are not listed in the “Java Properties” section of the Solr Admin UI, eller konfigureret på en sikker måde.