ER spesialister publisert en utnytte for RCE problem i Apache Solr

Om sommeren i år, en informasjon sikkerhetsforsker kjent som jnyryan oppdaget et problem i Apache Solr. Nå, sikkerhet fagfolk har publisert en utnytte for RCE problem i Apache Solr.

Så, standardkonfigurasjonen innebærer de inkluderte opsjons ENABLE_REMOTE_JMX_OPTS, hvilken, igjen, Åpner havn 8983 for eksterne tilkoblinger.

Hvis du bruker standard solr.in.sh filen fra de berørte utgivelser, da JMX overvåking vil være aktivert og eksponert på RMI_PORT (Standard = 18983), uten pålitelighets. Hvis denne porten er åpnet for innkommende trafikk i brannmuren, deretter alle med nettverkstilgang til Solr noder vil kunne få tilgang JMX, som igjen kan tillate dem å laste opp ondsinnet kode for kjøring på Solr server”, - skriver IS spesialist, kjent som jnyryan.

Apache utviklere funnet dette problemet nesten ufarlig, fordi i verste fall, kan en angriper bare adgang Solr overvåkingsdata, som er særlig ubrukelig.

derimot, på slutten av oktober, På GitHub ble publisert en PoC utnytte, som viser at en angriper kan bruke det samme problemet å fjern utføre vilkårlig kode (RCE). Den utnytte anvendes åpne port 8983 å aktivere Apache Velocity maler på Solr-serveren, og deretter brukt denne funksjonen til å laste ned og kjøre ondsinnet kode. Verre, etter noen få dager, et sekund, forbedret utnytte dukket opp på nettverket, noe som gjør det enda enklere å utføre angrep.

Les også: Phoenix keylogger deaktiverer mer enn 80 sikkerhetsprodukter

Etter det, utviklerne innsett sine feil og utstedt en oppdatert sikkerhets Anbefaling. Sikkerhetsproblemet er nå spores som CVE-2019-12409. Forskere minne brukerne at det er bedre å holde Solr servere bak brannmurer, siden disse systemene bør ikke åpenlyst “surfe” på Internett.

Det er fortsatt uklart hvilke versjoner av SORL er berørt av problemet. Foreløpig Solr utviklere skrive om versjoner 8.1.1 Og 8.2.0, men holdbart eksperter rapportere at sårbarheten er farlig for Solr fra versjon 7.7.2 til nyeste versjon 8.3.

Skadebegrensning:

Make sure your effective solr.in.sh file has ENABLE_REMOTE_JMX_OPTS set to ‘falsk‘ on every Solr node and then restart Solr. Merk at den effektive solr.in.sh filen kan ligge i / etc / defaults / eller et annet sted, avhengig av installert. You can then validate that the ‘com.sun.management.jmxremote*’ family of properties are not listed in the “Java Properties” section of the Solr Admin UI, eller konfigurert på en sikker måte.