En el verano de este año, un investigador de seguridad de la información conocida como jnyryan descubierto un problema en Apache Solr. Ahora, profesionales de la seguridad han publicado un exploit para el problema RCE en Apache Solr.
Tque la vulnerabilidad estaba oculto en el fichero de configuración solr.in.sh, que por defecto está incluido en todas las versiones de Solr.Asi que, la configuración por defecto implica la opción incluida ENABLE_REMOTE_JMX_OPTS, cual, en turno, abre Puerto 8983 para conexiones remotas.
Si se utiliza el archivo solr.in.sh predeterminada de las notas de afectados, a continuación, el monitoreo JMX se activará y se expone en RMI_PORT (por defecto = 18 983), sin ninguna autenticación. Si se abre este puerto para el tráfico entrante en el servidor de seguridad, a continuación, cualquier persona con acceso a la red a los nodos Solr será capaz de acceder JMX, que a su vez les permita cargar código malicioso para su ejecución en el servidor Solr”, - escribe es especialista, conocido como jnyryan.
desarrolladores de Apache encontraron este problema casi inofensivo, porque en el peor de los casos, Un atacante sólo podría acceder Solr los datos de seguimiento, que es particularmente inútil.
sin embargo, a finales del mes de octubre, En GitHub Se publicó un PoC explotar, lo que demuestra que un atacante podría utilizar el mismo problema para ejecutar código arbitrario de forma remota (RCE). El puerto abierto explotar utilizado 8983 para permitir que las plantillas de Apache Velocity en el servidor Solr, y luego se usa esta función para descargar y ejecutar código malicioso. Peor, Despues de unos dias, un segundo, la mejora de explotar aparecido En el network, lo que hace aún más fácil de llevar a cabo ataques.
leer también: Phoenix desactiva keylogger más que 80 productos de seguridad
Después de esto, los desarrolladores se dieron cuenta de su error y emitió una actualización de seguridad Recomendación. La vulnerabilidad es ahora un seguimiento tan CVE-2019-12.409. Los investigadores recuerdan a los usuarios que es mejor mantener los servidores Solr detrás de cortafuegos, ya que estos sistemas no deben abiertamente “navegar” por Internet.
Todavía no está claro qué versiones de Sorl se ven afectados por el problema. Actualmente los desarrolladores Solr escriben sobre versiones 8.1.1 y 8.2.0, pero los expertos Tenable informe que la vulnerabilidad es peligrosa para Solr de la versión 7.7.2 a la última versión 8.3.
Mitigación:
Asegúrese de que su archivo solr.in.sh efectiva ha establecido en ENABLE_REMOTE_JMX_OPTS ‘falso‘ en todos los nodos y reinicie Solr Solr. Tenga en cuenta que el archivo solr.in.sh efectiva puede residir en / etc / defaults / o otra ubicación dependiendo de la instalación. A continuación, puede validar que el ‘com.sun.management.jmxremote *’ familia de propiedades no se enumeran en el “Propiedades Java” sección de la interfaz de usuario Admin Solr, o configurados de manera segura.
