【安全风险通告】奇安信研究员发现并首发分析,产品线已支持防护,Apache Solr 任意文件读取与SSRF漏洞安全风险通告

  • A+
所属分类:安全漏洞
【安全风险通告】奇安信研究员发现并首发分析,产品线已支持防护,Apache Solr 任意文件读取与SSRF漏洞安全风险通告

奇安信CERT

致力于第一时间为企业级用户提供安全风险通告有效解决方案。




风险通告



Apache Solr是一个开源搜索服务引擎,Solr 使用 Java 语言开发,主要基于 HTTP 和 Apache Lucene 实现。近日,奇安信CERT安全研究员研究发现Apache Solr全版本存在任意文件读取漏洞,在Solr默认安装后无需任何其它配置即可读取系统任意文件。鉴于漏洞危害较大,建议客户尽快应用缓解措施。



当前漏洞状态



细节是否公开

PoC状态

EXP状态

在野利用

已公开

未知

未知




漏洞描述

Apace Solr广泛应用于一些大型门户网站、电子商务网站等都需要站内搜索功能,使用传统的数据库查询方式实现搜索无法满足一些高级的搜索需求,多部署于公司内网,公网使用量也达到1w+。默认安装后即为未授权访问,且用户使用时大多不会配置身份校验 。

漏洞利用需要两步,首先利用Config API打开默认关闭的requestDispatcher.requestParsers.enableRemoteStreaming开关,然后进行文件读取。

值得注意的是,默认情况下requestDispatcher.requestParsers.enableRemoteStreaming是关闭,攻击者并不能进行任意文件读取。

【安全风险通告】奇安信研究员发现并首发分析,产品线已支持防护,Apache Solr 任意文件读取与SSRF漏洞安全风险通告


所以官方并不认为这是一个漏洞,但是从攻击者角度来说可以通过Solr提供的Config API远程打开此开关,然后进行攻击,且Apache Solr生产环境下大多保持默认配置,并无身份校验,此漏洞还是具有一定危害,请厂商酌情处理。

漏洞复现:

第一步:

【安全风险通告】奇安信研究员发现并首发分析,产品线已支持防护,Apache Solr 任意文件读取与SSRF漏洞安全风险通告


第二步:

【安全风险通告】奇安信研究员发现并首发分析,产品线已支持防护,Apache Solr 任意文件读取与SSRF漏洞安全风险通告



风险等级

奇安信 CERT风险评级为:高危
风险等级:蓝色(一般事件)



影响范围

Solr全版本



处置建议

解措施

官方暂时表示不修复该漏洞

不要将Apache Solr开放在公网或配置Solr身份校验。


配置Solr身份校验:在security.json启用身份验证插件,代码示例:

{  "authentication" : {    "class": "class.that.implements.authentication"  },  "authorization": {    "class": "class.that.implements.authorization"  }}


在SolrCloud模式下需要将security.json上传到ZooKeeper。以下命令在上传文件时将其写入文件:

>server/scripts/cloud-scripts/zkcli.sh -zkhost localhost:2181 -cmd put /security.json '{"authentication":{"class":"org.apache.solr.security.KerberosPlugin"}}'


在独立模式下需要创建security.json并将其放在$SOLR_HOME安装目录中。


参考链接:https://solr.apache.org/guide/6_6/authentication-and-authorization-plugins.html



产品解决方案

奇安信网站应用安全云防护系统已更新防护特征库

奇安信网神网站应用安全云防护系统已全局更新所有云端防护节点的防护规则,支持对Apace Solr任意文件读取漏洞的防护。


奇安信网神统一服务器安全管理平台更新入侵防御规则库

奇安信网神虚拟化安全轻代理版本将于3月19日发布入侵防御规则库2021.03.19版本,支持对Apache Solr任意文件读取漏洞的防护,届时请用户联系技术支持人员获取规则升级包对轻代理版本进行升级。

奇安信网神统一服务器安全管理平台将于3月19日发布入侵防御规则库10339版本,支持对Apache Solr任意文件读取漏洞的防护,届时请用户联系技术支持人员获取规则升级包对融合版本进行升级。


奇安信网神网络数据传感器系统产品检测方案

奇安信网神网络数据传感器(NDS3000/5000/9000系列)产品,已具备该漏洞的检测能力。规则ID为:6278,建议用户尽快升级检测规则库至2103181213以后版本并启用该检测规则。


奇安信天眼产品解决方案

奇安信天眼新一代威胁感知系统在第一时间加入了该漏洞的检测规则,请将规则包升级到3.0.0318.12699及以上版本。规则名称:Apache Solr任意文件读取漏洞,规则ID:0x10020C10。奇安信天眼流量探针(传感器)升级方法:系统配置->设备升级->规则升级,选择“网络升级”或“本地升级”。



参考资料

[1]https://mp.weixin.qq.com/s/3WuWUGO61gM0dBpwqTfenQ



时间线

2021年3月18日,奇安信 CERT发布安全风险通告





【安全风险通告】奇安信研究员发现并首发分析,产品线已支持防护,Apache Solr 任意文件读取与SSRF漏洞安全风险通告

奇安信CERT长期招募安全研究员

↓ ↓ ↓ 向下滑动图片了解更多↓ ↓ ↓


⬇️⬇️详细技术分析点击阅读原文查看⬇️⬇️

本文始发于微信公众号(奇安信 CERT):【安全风险通告】奇安信研究员发现并首发分析,产品线已支持防护,Apache Solr 任意文件读取与SSRF漏洞安全风险通告

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: