Son los especialistas publicaron un exploit para el problema RCE en Apache Solr

En el verano de este año, un investigador de seguridad de la información conocida como jnyryan descubierto un problema en Apache Solr. Ahora, profesionales de la seguridad han publicado un exploit para el problema RCE en Apache Solr.

Tque la vulnerabilidad estaba oculto en el fichero de configuración solr.in.sh, que por defecto está incluido en todas las versiones de Solr.

Asi que, la configuración por defecto implica la opción incluida ENABLE_REMOTE_JMX_OPTS, cual, en turno, abre Puerto 8983 para conexiones remotas.

Si se utiliza el archivo solr.in.sh predeterminada de las notas de afectados, a continuación, el monitoreo JMX se activará y se expone en RMI_PORT (por defecto = 18 983), sin ninguna autenticación. Si se abre este puerto para el tráfico entrante en el servidor de seguridad, a continuación, cualquier persona con acceso a la red a los nodos Solr será capaz de acceder JMX, que a su vez les permita cargar código malicioso para su ejecución en el servidor Solr”, - escribe es especialista, conocido como jnyryan.

desarrolladores de Apache encontraron este problema casi inofensivo, porque en el peor de los casos, Un atacante sólo podría acceder Solr los datos de seguimiento, que es particularmente inútil.

sin embargo, a finales del mes de octubre, En GitHub Se publicó un PoC explotar, lo que demuestra que un atacante podría utilizar el mismo problema para ejecutar código arbitrario de forma remota (RCE). El puerto abierto explotar utilizado 8983 para permitir que las plantillas de Apache Velocity en el servidor Solr, y luego se usa esta función para descargar y ejecutar código malicioso. Peor, Despues de unos dias, un segundo, la mejora de explotar aparecido En el network, lo que hace aún más fácil de llevar a cabo ataques.

leer también: Phoenix desactiva keylogger más que 80 productos de seguridad

Después de esto, los desarrolladores se dieron cuenta de su error y emitió una actualización de seguridad Recomendación. La vulnerabilidad es ahora un seguimiento tan CVE-2019-12.409. Los investigadores recuerdan a los usuarios que es mejor mantener los servidores Solr detrás de cortafuegos, ya que estos sistemas no deben abiertamente “navegar” por Internet.

LEER  Roba contraseñas LokiBot malware comienzan ocultar su código en imágenes

Todavía no está claro qué versiones de Sorl se ven afectados por el problema. Actualmente los desarrolladores Solr escriben sobre versiones 8.1.1 y 8.2.0, pero los expertos Tenable informe que la vulnerabilidad es peligrosa para Solr de la versión 7.7.2 a la última versión 8.3.

Mitigación:

Asegúrese de que su archivo solr.in.sh efectiva ha establecido en ENABLE_REMOTE_JMX_OPTS ‘falso‘ en todos los nodos y reinicie Solr Solr. Tenga en cuenta que el archivo solr.in.sh efectiva puede residir en / etc / defaults / o otra ubicación dependiendo de la instalación. A continuación, puede validar que el ‘com.sun.management.jmxremote *’ familia de propiedades no se enumeran en el “Propiedades Java” sección de la interfaz de usuario Admin Solr, o configurados de manera segura.

[Total:0    Promedio:0/5]

Acerca de Trojan Killer

Trojan Killer llevar portátil en su dispositivo de memoria. Asegúrese de que usted es capaz de ayudar a su PC resistir cualquier amenaza cibernética donde quiera que vaya.

también puedes ver

detección RAT Parallax en VirusTotal

instrucciones de eliminación Parallax RAT.

Esta guía le proporcionará información más detallada acerca de la paralaje RAT. Vas a …

Error de código Java Stackoverflow

La pieza más copiado del código de Java en StackOverflow contiene un error

Como se vio despues, la pieza más copiado del código de Java en StackOverflow contiene una …

Deja una respuesta