Apache Solr 这次遇到的漏洞比想象的要危险得多。
Apache Solr 是一个用Java编写的高度可靠,可扩展且容错的开源搜索引擎,可提供分布式索引,复制和负载平衡查询,自动故障转移和恢复,集中式配置等。
安全公告称,此问题最初被命名为“solr.in.sh 含有未注释行”,并告诉用户检查其 solr.in.sh 文件。后来由于远程执行代码的风险,他们升级了此漏洞并取得了CVE编号。
该漏洞影响 Apache Solr 在 Linux 系统上的8.1.1和8.2.0版本(不影响Windows),这些版本的 sol.in.sh 文件中的 ENABLE_REMOTE_JMX_OPTS 配置不安全。
发现该漏洞时,由于专家认为攻击者只能利用该漏洞访问Solr监视数据,所以 Apache Solr 团队没有意识到它的严重性。
10月30日,用户“ s00py ” 在GitHub上发布了漏洞利用代码,使得黑客可以远程执行代码。为了使用Apache Velocity 模板,漏洞利用代码使用了暴露的 8983 端口 ,并利用该模板来上传和运行恶意代码。
两天后,用户“ jas502n ”发布了第二个PoC代码 ,凭借此代码,黑客可以轻松利用该漏洞。
这两个PoC迫使Solr团队于11月15日更新安全公告,漏洞CVE为 CVE-2019-12409。
专家们目前还没有探测到在野利用攻击,不过他们认为这只是时间问题。
文章来源:Securityaffairs