IS specialisten publiceerde een exploit voor het RCE probleem in Apache Solr

In de zomer van dit jaar, Een informatiebeveiliging onderzoeker bekend als jnyryan ontdekt een probleem in Apache Solr. Nu, security professionals hebben gepubliceerd een exploit voor het RCE probleem in Apache Solr.

Thij kwetsbaarheid was verborgen in de solr.in.sh configuratiebestand, die standaard is opgenomen in alle versies van Solr.

Zo, de standaard configuratie impliceert de meegeleverde optie ENABLE_REMOTE_JMX_OPTS, welke, op zijn beurt, Opent haven 8983 voor externe verbindingen.

Als u de standaard solr.in.sh bestand te gebruiken uit het getroffen releases, dan JMX toezicht zal worden ingeschakeld en blootgesteld op RMI_PORT (default = 18983), zonder enige vorm van authenticatie. Als deze poort is geopend voor binnenkomend verkeer in uw firewall, dan kan iedereen met toegang tot het netwerk om uw Solr nodes in staat zal zijn om toegang JMX, die op zijn beurt kan hen in staat stellen om kwaadaardige code voor de uitvoering uploaden op de Solr server”, - schrijft IS specialist, bekend als jnyryan.

Apache-ontwikkelaars hebben dit probleem bijna onschadelijk, omdat in het ergste geval, Een aanvaller kan alleen toegang Solr meetgegevens, die bijzonder nutteloos.

Echter, aan het eind oktober, Op GitHub werd een PoC exploit gepubliceerd, waaruit blijkt dat een aanvaller hetzelfde probleem zou kunnen gebruiken om willekeurige code op afstand uitvoeren (RCE). De exploit gebruikt open poort 8983 Apache Velocity templates op de Solr server mogelijk te maken, en vervolgens gebruikt deze functie voor het downloaden en uitvoeren kwaadaardige code. Erger, na een paar dagen, een seconde, verbeterd exploiteren verschenen op het netwerk, waardoor het nog makkelijker om aanvallen uit te voeren.

Lees ook: Phoenix keylogger schakelt meer dan 80 beveiligingsproducten

Daarna, de ontwikkelaars besefte hun fout en een geactualiseerde beveiliging uitgegeven Aanbeveling. Het beveiligingslek wordt nu gevolgd als CVE-2019-12.409. Onderzoekers herinneren gebruikers dat het beter is om Solr servers achter firewalls te houden, omdat deze systemen moeten niet openlijk “surf” op het internet.

Het is nog onduidelijk welke versies van Sorl worden getroffen door het probleem. Momenteel Solr ontwikkelaars schrijven over versies 8.1.1 En 8.2.0, maar Tenable experts verslag doen van dat de kwetsbaarheid is gevaarlijk voor Solr vanaf versie 7.7.2 naar de nieuwste versie 8.3.

verzachting:

Zorg ervoor dat uw effectief solr.in.sh bestand is ENABLE_REMOTE_JMX_OPTS ingesteld op ‘vals‘ op elke Solr knooppunt en start Solr. Merk op dat de effectieve solr.in.sh bestand mogen verblijven in / etc / defaults / of een andere locatie, afhankelijk van de te installeren. U kunt dan controleren of de ‘com.sun.management.jmxremote *’ familie van eigenschappen worden niet in de aangegeven “Java Properties” sectie van de Solr Admin UI, of gevormd op een veilige manier.

Polina Lisovskaja

Ik werk al jaren als marketingmanager en zoek graag naar interessante onderwerpen voor jou

Laat een antwoord achter

Terug naar boven knop