No verão deste ano, um pesquisador de segurança da informação conhecida como jnyryan descoberto um problema no Apache Solr. Agora, profissionais de segurança têm publicado um exploit para o problema RCE no Apache Solr.
Tele vulnerabilidade estava escondido no arquivo de configuração solr.in.sh, que por padrão é incluído em todas as versões do Solr.assim, a configuração padrão implica as ENABLE_REMOTE_JMX_OPTS opção incluída, qual, por sua vez, Abre porta 8983 para conexões remotas.
Se você usar o arquivo solr.in.sh padrão das versões afetadas, em seguida, monitoramento JMX será ativada e exposto na RMI_PORT (default = 18983), sem qualquer autenticação. Se esta porta é aberta para tráfego de entrada em seu firewall, em seguida, qualquer pessoa com acesso à rede para os seus nódulos Solr será capaz de acesso JMX, que por sua vez pode permitir que eles carreguem código malicioso para execução no servidor Solr”, - Escreve É especialista, conhecido como jnyryan.
desenvolvedores Apache encontrado esse problema quase inofensiva, porque, no pior caso, um invasor poderia apenas o acesso Solr monitoramento de dados, que é particularmente inútil.
Contudo, no final de outubro, Em GitHub foi publicado um PoC explorar, demonstrando que um invasor pode usar o mesmo problema para executar remotamente código arbitrário (RCE). A porta aberta explorar utilizada 8983 para permitir modelos Apache Velocity no servidor Solr, e depois usou esta função para baixar e executar código malicioso. Pior, depois de alguns dias, um segundo, melhorou explorar apareceu na rede, tornando ainda mais fácil para realizar ataques.
Leia também: desativa keylogger Phoenix mais do que 80 produtos de segurança
Depois disso, os desenvolvedores perceberam o erro e emitiu uma segurança atualizado Recomendação. A vulnerabilidade é agora controlada como CVE-2019-12409. Pesquisadores lembrar os usuários que é melhor para manter os servidores Solr atrás de firewalls, uma vez que estes sistemas não deve abertamente “surfar” na Internet.
Ainda não está claro quais versões do SORL são afetados pelo problema. Atualmente os desenvolvedores Solr escrever sobre versões 8.1.1 e 8.2.0, mas especialistas Tenable relatório que a vulnerabilidade é perigoso para Solr da versão 7.7.2 para a última versão 8.3.
Mitigação:
Verifique se o seu arquivo solr.in.sh eficaz tem ENABLE_REMOTE_JMX_OPTS definido para ‘falso‘ em cada nó Solr e reinicie Solr. Note-se que o arquivo solr.in.sh eficaz pode residir em / etc / defaults / ou outro local, dependendo da instalação. Você pode, então, validar que o ‘com.sun.management.jmxremote *’ família de propriedades não estão listados na “Propriedades Java” seção da UI de administração do Solr, ou configurada de uma maneira segura.
