CVE-2019-12409: Apache-Solr JMX暴露外网远程代码执行漏洞预警

 

事件背景

2019年11月18日,360CERT检测到 Solr 官方发布了安全更新。

Solr是apache的顶级开源项目,它是使用java开发 ,基于lucene的全文检索服务器。

经过360CERT分析研判。Solr仅新版本 8.1.1, 8.2.0受到该漏洞影响。Solr用户不应该把自身的 Solr 集群暴露于公网之中。

由于 Solr 新版默认启动时开启JMX服务,360CERT判断该事件危害严重。影响面广泛。

360CERT提醒广大 Solr 用户,立即做好环境网络配置自查工作,或关闭JMX相关功能。

 

漏洞分析

Java ManagementExtensions(JMX)是一种Java技术,为管理和监视应用程序、系统对象、设备(如打印机)和面向服务的网络提供相应的工具。

JMX 作为 Java的一种Bean管理机制,如果JMX服务端口暴露,那么远程攻击者可以让该服务器远程加载恶意的Bean文件,随着Bean的滥用导致远程代码执行。

  1. 启动一个可以被用于远程类加载的 MLet web服务
  2. 使用JMX服务使目标服务器远程加载恶意类
  3. 调用恶意 Bean 实现代码执行

漏洞证明

enter description here

 

影响版本

Solr 8.1.1

Solr 8.2.0

 

修复建议

  • 保证 Solr 集群只能被可信任端点访问
  • 启用 Solr JMX 服务身份验证
  • 关闭 Solr JMX 服务

 

时间线

2019-11-18 Solr 官方发布预警

2019-11-19 360CERT发布预警

 

参考链接

  1. [SOLR-13647] CVE-2019-12409: Apache Solr RCE vulnerability due to bad config default – ASF JIRA
(完)