Código de explotación publicado para el peligroso error de ejecución remota de código de Apache Solr

Apache Solr

La confusión aún rodea un error de seguridad que el equipo de Apache Solr reparó durante el verano, lo que resulta que en realidad es mucho más peligroso de lo que nadie pensaba.

Apache Solr es un motor de búsqueda de código abierto basado en Java, desarrollado inicialmente para agregar funcionalidad de búsqueda al sitio world wide web de CNET.

El proyecto fue donado a la Apache Software Foundation en 2006, desde donde ganó uso mundial debido a su velocidad y al conjunto de características ampliado.

Problema reportado hace meses

Durante el verano, un usuario llamado «jnyryan» reportado al proyecto Solr que el valor predeterminado solr.in.sh El archivo de configuración que se incluye con todas las nuevas instancias de Solr contenía una opción insegura.

La configuración predeterminada enviada con el ENABLE_Remote_JMX_OPTS opción establecida en habilitada, que, a su vez, expuso el puerto 8983 a conexiones remotas.

En el momento en que se informó, el equipo de Apache Solr no vio el problema como un gran problema, y ​​los desarrolladores pensaron que un atacante solo podía acceder a los datos de monitoreo (inútiles) de Solr, y nada más.

Las cosas resultaron mucho peores cuando, el 30 de octubre, un usuario publicó código de prueba de concepto en GitHub mostrando cómo un atacante podría abusar del mismo problema para los ataques de «ejecución remota de código» (RCE). El código de prueba de concepto usó el puerto 8983 expuesto para habilitar el soporte para las plantillas de Apache Velocity en el servidor Solr y luego usó esta segunda característica para cargar y ejecutar código malicioso.

Un segundo código de prueba de concepto más refinado fue publicado en línea dos días después, haciendo que los ataques sean aún más fáciles de ejecutar.

Fue solo después de la publicación de este código que el equipo de Solr se dio cuenta de lo peligroso que realmente era este error. El 15 de noviembre, emitieron un aviso de seguridad actualizado. En su alerta actualizada, el equipo de Solr recomendó que los administradores de Solr establecieran Enable_Distant_JMX_OPTS opción en el archivo de configuración solr.in.sh a «falso«en cada nodo Solr y luego reinicie Solr.

También recomiendan que los usuarios mantengan los servidores Solr detrás de los cortafuegos, ya que estos sistemas nunca fueron diseñados para permanecer expuestos en Online, sino solo en parte de redes internas cerradas y estrechamente monitoreadas.

El equipo de Solr dijo que solo las versiones de Solr que se ejecutan en Linux se ven afectadas.

Sin embargo, todavía hay algún misterio sobre qué versiones se ven afectadas. En su aviso de seguridad, el equipo de Solr dijo que solo v8.1.1 y v8.2. son vulnerables, pero, en una publicación de blog site la semana pasada, el equipo de investigación de Tenable dijo que el impacto es mucho mayor, ya que la vulnerabilidad afecta a todas las versiones de Solr desde la v7.7.2 a la v8.3, la última versión.

No se detectaron ataques, pero se esperan

La buena noticia es que al momento de escribir esto, no se han detectado ataques en la naturaleza. Sin embargo, esto es solo cuestión de tiempo.

Las instancias de Apache Solr generalmente tienen acceso a grandes recursos computacionales y, históricamente, han sido muy buscadas por las bandas de malware.

Por ejemplo, CVE-2017-12629 y CVE-2019-0193 fueron atacados por piratas informáticos semanas después de que los detalles y el código de explotación se hicieran públicos. En ambos casos, los atacantes utilizaron las dos vulnerabilidades para obtener acceso a los servidores Solr y plantar malware de minería de criptomonedas en servidores sin parches.

Debido a que ya sabemos que este nuevo mistake de Solr puede conducir a la ejecución remota de código y tenemos un código de explotación público fácilmente disponible, los expertos esperan que esta falla de seguridad esté bajo ataques activos en días o semanas.

Este nuevo error de Solr se rastrea como CVE-2019-12409.

Enlace a la noticia