IS specialisten publiceerde een exploit voor het RCE probleem in Apache Solr

In de zomer van dit jaar, Een informatiebeveiliging onderzoeker bekend als jnyryan ontdekt een probleem in Apache Solr. Nu, security professionals hebben gepubliceerd een exploit voor het RCE probleem in Apache Solr.

Thij kwetsbaarheid was verborgen in de solr.in.sh configuratiebestand, die standaard is opgenomen in alle versies van Solr.

Zo, de standaard configuratie impliceert de meegeleverde optie ENABLE_REMOTE_JMX_OPTS, welke, op zijn beurt, Opent haven 8983 voor externe verbindingen.

Als u de standaard solr.in.sh bestand te gebruiken uit het getroffen releases, dan JMX toezicht zal worden ingeschakeld en blootgesteld op RMI_PORT (default = 18983), zonder enige vorm van authenticatie. Als deze poort is geopend voor binnenkomend verkeer in uw firewall, dan kan iedereen met toegang tot het netwerk om uw Solr nodes in staat zal zijn om toegang JMX, die op zijn beurt kan hen in staat stellen om kwaadaardige code voor de uitvoering uploaden op de Solr server”, - schrijft IS specialist, bekend als jnyryan.

Apache-ontwikkelaars hebben dit probleem bijna onschadelijk, omdat in het ergste geval, Een aanvaller kan alleen toegang Solr meetgegevens, die bijzonder nutteloos.

Echter, aan het eind oktober, Op GitHub werd een PoC exploit gepubliceerd, waaruit blijkt dat een aanvaller hetzelfde probleem zou kunnen gebruiken om willekeurige code op afstand uitvoeren (RCE). De exploit gebruikt open poort 8983 Apache Velocity templates op de Solr server mogelijk te maken, en vervolgens gebruikt deze functie voor het downloaden en uitvoeren kwaadaardige code. Erger, na een paar dagen, een seconde, verbeterd exploiteren verschenen op het netwerk, waardoor het nog makkelijker om aanvallen uit te voeren.

Lees ook: Phoenix keylogger schakelt meer dan 80 beveiligingsproducten

Daarna, de ontwikkelaars besefte hun fout en een geactualiseerde beveiliging uitgegeven Aanbeveling. Het beveiligingslek wordt nu gevolgd als CVE-2019-12.409. Onderzoekers herinneren gebruikers dat het beter is om Solr servers achter firewalls te houden, omdat deze systemen moeten niet openlijk “surf” op het internet.

LEZEN  Evernote een patch een gat dat indringers toegestaan ​​dat één code op MacOS

Het is nog onduidelijk welke versies van Sorl worden getroffen door het probleem. Momenteel Solr ontwikkelaars schrijven over versies 8.1.1 En 8.2.0, maar Tenable experts verslag doen van dat de kwetsbaarheid is gevaarlijk voor Solr vanaf versie 7.7.2 naar de nieuwste versie 8.3.

verzachting:

Zorg ervoor dat uw effectief solr.in.sh bestand is ENABLE_REMOTE_JMX_OPTS ingesteld op ‘vals‘ op elke Solr knooppunt en start Solr. Merk op dat de effectieve solr.in.sh bestand mogen verblijven in / etc / defaults / of een andere locatie, afhankelijk van de te installeren. U kunt dan controleren of de ‘com.sun.management.jmxremote *’ familie van eigenschappen worden niet in de aangegeven “Java Properties” sectie van de Solr Admin UI, of gevormd op een veilige manier.

[Totaal: 0    Gemiddelde: 0/5]

Over Trojan Killer

Carry Trojan Killer Portable op je memory stick. Zorg ervoor dat u in staat om uw pc te weerstaan ​​elke cyberdreigingen overal mee naar toe bent.

Controleer ook

Parallax RAT detection on VirusTotal

Parallax RAT instructies voor het verwijderen.

Deze gids geeft u meer gedetailleerde informatie over de Parallax RAT. You will

StackOverflow Java-code error

De meest gekopieerde stukje Java-code op StackOverflow bevat een fout

Het bleek dat, the most copied piece of Java code on StackOverflow contains an

Laat een antwoord achter