Ошибка в коде поискового движка Apache Solr, открывавшая доступ к порту 8983, оказалась опаснее, чем предполагалось ранее. За последний месяц в Сети появились два PoC-эксплойта, которые позволяют не только прочитать данные мониторинга системы, но и удаленно выполнить вредоносный код на целевом сервере. Разработчики рекомендуют пользователям как можно скорее отключить уязвимую функцию в настройках программы.

В чем состоит уязвимость Apache Solr

Проблема, о которой стало известно в августе, кроется в службе ENABLE_REMOTE_JMX_OPTS, предназначенной для мониторинга управленческих расширений Java (Java Management Extensions) — встроенной технологии контроля устройств, приложений и системных объектов. Как выяснили ИБ-специалисты летом 2019 года, эта функция при дефолтных настройках допускает неавторизованный доступ к TCP/UDP-порту 8983, который Apache Solr использует для передачи данных.

Первоначально разработчики считали, что баг не приводит к компрометации программы, поскольку дает доступ лишь к бесполезной для киберпреступников информации. Однако им пришлось пересмотреть свою позицию после публикации двух PoC, демонстрирующих запуск стороннего кода с использованием этого недостатка.

Киберпреступники получили инструмент для атак на Apache Solr

Первый эксплойт появился на GitHub 30 октября этого года и демонстрировал дистанционную активацию движка обработки шаблонов Apache Velocity, что в итоге давало злоумышленнику возможность запустить свой скрипт на сервере Solr. Второй PoC, разработанный программистом из Гонконга, развивает оригинальную концепцию, облегчая проведение атаки. Исходники вредоносного сценария были выложены в Интернет 13 ноября 2019 года.

Система мониторинга ENABLE_REMOTE_JMX_OPTS по умолчанию включена в конфигурационном файле solr.in.sh, поэтому под угрозой взлома оказались тысячи веб-ресурсов, использующих поисковый движок. После появления PoC-эксплойтов уязвимости был присвоен идентификатор CVE-2019-12409, а разработчики Apache Solr выпустили соответствующий бюллетень безопасности. Создатели системы рекомендуют отключить проблемную функцию, а также использовать файрвол, чтобы защитить порт 8983.

Ранее RCE-баги в Apache Solr уже эксплуатировались злоумышленниками, которые устанавливали майнеры на уязвимые серверы. ИБ-специалисты предупреждают, что после публикации эксплойтов можно ожидать волну атак на ресурсы, использующие этот поисковый движок.

Категории: Уязвимости