近期,长亭应急响应实验室接收到一份关于Apache Solr远程代码执行漏洞的报告。
安全研究团队已迅速完成了对这个漏洞的详细分析和评估。在此补充一些关于这个漏洞的关键信息。
当Apache Solr配置为集群模式(cloud mode)启动时,攻击者可以利用Schema Designer功能上传恶意配置文件,最终通过加载恶意的 jar 包实现远程代码执行。
只有在Solr配置为集群模式(cloud mode)时,攻击者才能利用Schema Designer功能。如果没有开启集群模式,这个漏洞就无法被利用。
经过深入分析和综合评估,长亭认为这个漏洞的实际利用价值相对较低,原因如下:
1. 该漏洞通过写入文件来获得服务器权限,然而,文件写入的tmp目录并不固定,且在不同操作系统下有所不同。(例如 Linux下为/tmp/jar_cache*.tmp,而在Mac下为/private/var/folders/**/**/**/jar_cache* .tmp)
2. 从SOLR-13984版本开始,Solr默认启用了Security Manager。在Windows和Mac操作系统上,这会默认限制对文件写入目录的访问,导致无法落地jar_cache。虽然有消息称在Windows下可以使用UNC路径来绕过这个限制,但暂时还未得到确认。
Linux环境:8.10-9.2.1
Windows环境:8.10–9.3.0
入侵检测方案
1. 对流量进行监控,关注指向Solr服务的流量。
在流量防护设备上设置告警,针对Solr服的/api/schema-designer/*相关路径进行特别关注。
2. 检查Schema Designer中的Schema列表,以确认是否存在预期之外的或异常的Schema创建记录。
对于任何未经授权或可疑的Schema创建行为,确定其来源和目的。
如果确认存在恶意活动,立即删除未授权的Schema,并采取必要的应对措施,如修改访问控制策略,加强身份验证和授权机制等。
配置和版本检查方案
验证是否使用集群模式启动,可以采用以下方法:
1. 通过Solr Admin界面
访问Solr的管理界面 http://<Solr服务器地址>:<端口号>/solr/,在界面的左侧菜单栏中,找到并点击“Cloud”选项。如果Solr是以集群模式运行的,将在这里看到集群的相关信息,包括节点、集合等详情。
2. 通过Solr API
访问http://<Solr服务器地址>:<端口号>/solr/admin/collections?action=CLUSTERSTATUS,如果Solr以集群模式启动,这个请求将返回集群的状态和配置信息。
验证Solr的版本,可以采用以下方法:
1. 通过Solr Admin界面
访问Solr的管理界面http://<Solr服务器地址>:<端口号>/solr/,在界面的右上角或者底部,会显示Solr的版本信息。
2. 通过Solr API
访问 http://<Solr服务器地址>:<端口号>/solr/admin/info/system?wt=json,返回的JSON数据中会包含Solr的版本信息,通常在lucene字段下的solr-spec-version。
升级修复方案
强烈建议所有受影响的Apache Solr用户尽快访问官方下载页面(https://solr.apache.org/downloads.html),并将系统升级至最新版本,以消除潜在的安全风险,确保系统的安全性。
临时缓解方案
通过实施网络访问控制列表(ACL)策略来限制访问源,只有来自特定IP地址或地址段的请求才被允许访问Solr服务。
需要特别注意的是,Solr在默认配置下允许未经授权访问,因此强烈建议启用身份认证机制,以增强系统的安全性。
10月15日 官方修复漏洞
10月23日 长亭应急响应实验室漏洞分析与复现
10月24日 长亭安全应急响应中心发布通告
参考资料:
✦https://solr.apache.org/guide/6_6/documents-fields-and-schema-design.html
✦https://solr.apache.org/guide/6_6/overview-of-documents-fields-and-schema-design.html
全力进行产品升级
及时将风险提示预案发送给客户
检测业务是否收到此次漏洞影响
请联系长亭应急团队
7*24小时,守护您的安全
第一时间找到我们:
应急响应热线:4000-327-707
原文始发于微信公众号(黑伞安全):长亭观点|先别急!Apache Solr漏洞情报补充
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论