여름이 해에, jnyryan으로 알려진 정보 보안 연구원 발견 아파치 SOLR 문제. 지금, 보안 전문가는 아파치 SOLR에서 경찰과의 문제에 대한 악용 게시 한.
티그는이 취약점은 solr.in.sh 구성 파일에 숨겨진, 기본적으로 이는 SOLR의 모든 버전에 포함되어 있습니다.그래서, 기본 구성에 포함 된 옵션 ENABLE_REMOTE_JMX_OPTS을 의미, 어느, 차례로, 엽니 다 포트 8983 원격 연결을위한.
당신은 영향을받는 버전에서 기본 solr.in.sh 파일을 사용하는 경우, 다음 JMX 모니터링 활성화 및 RMI_PORT에 노출됩니다 (기본 = 18983), 어떤 인증없이. 이 포트는 방화벽에서 인바운드 트래픽에 대해 열려있는 경우, 다음 SOLR 노드에 대한 네트워크 액세스 할 수있는 모든 사용자가 액세스 할 수 있습니다 JMX, 다시 그들을 SOLR 서버 "에 실행을위한 악성 코드를 업로드 할 수있다, - 쓰기는 전문가입니다, jnyryan로 알려진.
아파치 개발자는이 문제가 거의 무해 발견, 때문에 최악의 경우, 공격자는 전용 액세스 SOLR 데이터를 모니터링 할 수, 이는 특히 쓸모.
하나, 10 월 말에, 에 GitHub의 이용 의한 PoC를 발표했다, 공격자가 원격으로 임의의 코드를 실행하는 동일한 문제를 사용할 수 있음을 입증 (RCE). 익스플로잇 사용되는 오픈 포트 8983 SOLR 서버에 아파치 벨로 시티 템플릿을 사용하려면, 다음 다운로드이 기능을 사용하여 악성 코드를 실행. 보다 나쁜, 몇 일 후, 두 번째, 악용 개선 출연 네트워크, 더 쉽게 그것을 만드는 것은 공격을 수행하는.
또한 읽기: 피닉스 키로거 비활성화 이상 80 보안 제품
그 후, 개발자는 자신의 실수를 깨닫고 업데이트 된 보안을 발행 추천. 이 취약점은 지금과 같이 추적 CVE-2019-12409. 연구원은 방화벽 뒤에 SOLR 서버를 유지하는 것이 좋습니다을 사용자에게 상기시켜, 이러한 시스템해야하지 공개적으로 "서핑"인터넷 이후.
Sorl의 버전이 문제의 영향을받는 여전히 불분명하다. 현재 SOLR 개발자 버전에 대해 쓰기 8.1.1 과 8.2.0, 하지만 방어 할 전문가 보고서 취약점이 버전에서 SOLR에 대한 위험하다 7.7.2 최신 버전으로 8.3.
완화:
있는지 확인 효과적인 solr.in.sh 파일은 ENABLE_REMOTE_JMX_OPTS는로 설정하고있다 ‘그릇된‘ SOLR 모든 SOLR 노드가 다시 시작. 참고 유효 solr.in.sh 파일은 설치에 따라의 / etc / 기본값 / 또는 다른 위치에있을 수 있음. 그런 다음 '또, com.sun.management.jmxremote 것을 확인할 수 있습니다 *’ 속성의 가족은에 나열되지 않은 “자바 속성” SOLR 관리 UI의 섹션, 또는 안전한 방식으로 구성.
