Om sommeren i år, en informasjon sikkerhetsforsker kjent som jnyryan oppdaget et problem i Apache Solr. Nå, sikkerhet fagfolk har publisert en utnytte for RCE problem i Apache Solr.
Than sårbarhet ble skjult i solr.in.sh konfigurasjonsfilen, som standard er inkludert i alle versjoner av Solr.Så, standardkonfigurasjonen innebærer de inkluderte opsjons ENABLE_REMOTE_JMX_OPTS, hvilken, igjen, Åpner havn 8983 for eksterne tilkoblinger.
Hvis du bruker standard solr.in.sh filen fra de berørte utgivelser, da JMX overvåking vil være aktivert og eksponert på RMI_PORT (Standard = 18983), uten pålitelighets. Hvis denne porten er åpnet for innkommende trafikk i brannmuren, deretter alle med nettverkstilgang til Solr noder vil kunne få tilgang JMX, som igjen kan tillate dem å laste opp ondsinnet kode for kjøring på Solr server”, - skriver IS spesialist, kjent som jnyryan.
Apache utviklere funnet dette problemet nesten ufarlig, fordi i verste fall, kan en angriper bare adgang Solr overvåkingsdata, som er særlig ubrukelig.
derimot, på slutten av oktober, På GitHub ble publisert en PoC utnytte, som viser at en angriper kan bruke det samme problemet å fjern utføre vilkårlig kode (RCE). Den utnytte anvendes åpne port 8983 å aktivere Apache Velocity maler på Solr-serveren, og deretter brukt denne funksjonen til å laste ned og kjøre ondsinnet kode. Verre, etter noen få dager, et sekund, forbedret utnytte dukket opp på nettverket, noe som gjør det enda enklere å utføre angrep.
Les også: Phoenix keylogger deaktiverer mer enn 80 sikkerhetsprodukter
Etter det, utviklerne innsett sine feil og utstedt en oppdatert sikkerhets Anbefaling. Sikkerhetsproblemet er nå spores som CVE-2019-12409. Forskere minne brukerne at det er bedre å holde Solr servere bak brannmurer, siden disse systemene bør ikke åpenlyst “surfe” på Internett.
Det er fortsatt uklart hvilke versjoner av SORL er berørt av problemet. Foreløpig Solr utviklere skrive om versjoner 8.1.1 Og 8.2.0, men holdbart eksperter rapportere at sårbarheten er farlig for Solr fra versjon 7.7.2 til nyeste versjon 8.3.
Skadebegrensning:
Sørg for at effektiv solr.in.sh filen har ENABLE_REMOTE_JMX_OPTS satt til ‘falsk‘ på hver Solr node og start Solr. Merk at den effektive solr.in.sh filen kan ligge i / etc / defaults / eller et annet sted, avhengig av installert. Du kan deretter bekrefte at ‘com.sun.management.jmxremote *’ familie av egenskaper er ikke oppført i “Java Properties” delen av Solr Admin UI, eller konfigurert på en sikker måte.
