Твитнуть
Летом текущего года ИБ-исследователь, известный как jnyryan, обнаружил проблему в Apache Solr. Уязвимость скрывалась в файле конфигурации solr.in.sh, который по умолчанию включен в состав всех версий Solr. Так, конфигурация по умолчанию подразумевает включенную опцию ENABLE_REMOTE_JMX_OPTS , которая, в свою очередь, открывает порт 8983 для удаленных подключений.
Разработчики Apache сочли эту проблему практически безвредной, ведь в худшем случае злоумышленник сможет получить доступ лишь данным мониторинга Solr, которые почти бесполезны.
Но в конце октября на GitHub был опубликован PoC-эксплоит, демонстрирующий, что злоумышленник может применить ту же проблему и для удаленного выполнения произвольного кода (RCE). Эксплоит использовал открытый порт 8983 для включения шаблонов Apache Velocity на сервере Solr, а затем использовал эту функцию для загрузки и запуска вредоносного кода. Хуже того, через несколько дней в сети появился и второй, усовершенствованный эксплоит, еще облегчающий выполнение атак.
После этого разработчики поняли свою ошибку и выпустили обновленную рекомендацию по безопасности. Теперь уязвимость отслеживается как CVE-2019-12409 и команда разработки Solr рекомендует установить значение «false» для параметра ENABLE_REMOTE_JMX_OPTS в файле конфигурации solr.in.sh, после чего произвести перезагрузку. Также пользователям напоминают о том, что серверы Solr лучше держать за брандмауэрами, поскольку эти системы не должны открыто «смотреть» в интернет в принципе.
До сих пор неясно, на какие именно версии Sorl влияет проблема. Так, разработчики Solr пишут о версиях 8.1.1 и 8.2.0, но эксперты компании Tenable сообщают, что уязвимость опасна для Solr от версии 7.7.2 до новейшей версии 8.3.
Разработчики Apache сочли эту проблему практически безвредной, ведь в худшем случае злоумышленник сможет получить доступ лишь данным мониторинга Solr, которые почти бесполезны.
Но в конце октября на GitHub был опубликован PoC-эксплоит, демонстрирующий, что злоумышленник может применить ту же проблему и для удаленного выполнения произвольного кода (RCE). Эксплоит использовал открытый порт 8983 для включения шаблонов Apache Velocity на сервере Solr, а затем использовал эту функцию для загрузки и запуска вредоносного кода. Хуже того, через несколько дней в сети появился и второй, усовершенствованный эксплоит, еще облегчающий выполнение атак.
После этого разработчики поняли свою ошибку и выпустили обновленную рекомендацию по безопасности. Теперь уязвимость отслеживается как CVE-2019-12409 и команда разработки Solr рекомендует установить значение «false» для параметра ENABLE_REMOTE_JMX_OPTS в файле конфигурации solr.in.sh, после чего произвести перезагрузку. Также пользователям напоминают о том, что серверы Solr лучше держать за брандмауэрами, поскольку эти системы не должны открыто «смотреть» в интернет в принципе.
До сих пор неясно, на какие именно версии Sorl влияет проблема. Так, разработчики Solr пишут о версиях 8.1.1 и 8.2.0, но эксперты компании Tenable сообщают, что уязвимость опасна для Solr от версии 7.7.2 до новейшей версии 8.3.