Solr es un servidor de búsquedas open source, que se encuentra escrito en Java, entre sus principales características están:
- Búsquedas de texto completo
- Clustering dinámico
- Facetado de resultados de búsquedas
- Indexación acelerada, entre otras
Grandes compañías, como por ejemplo Netflix, Sears, DuckDuckGo, utilizan Solr para realizar búsquedas, se puede ver la lista completa en: https://cwiki.apache.org/confluence/display/solr/PublicServers
¿Qué pasó?
El 18 de noviembre sale a luz el CVE-2019-12409, en el cual se describe una falla de seguridad encontrada en el archivo de configuración “solr.in.sh”, si este archivo queda configurado por defecto para las versiones 8.1.1 y 8.2, quedará habilitado el acceso sin autenticación al JAVA Management Extensions (JMX), que en su defecto escucha en el puerto 18983 permitiendo a un atacante subir código malicioso para su ejecución. Chan!
Actualmente existe un exploit público disponible:
Recomendaciones
Siempre es recomendable tener todo nuestro software actualizado a la última versión disponible, en este caso solr 8.3, en caso de no ser posible, las siguientes recomendaciones podrían mitigar el ataque:
- En el archivo de configuración cambiar el valor de “ENABLE_REMOTE_JMX_OPTS” a false.
- Filtrar las conexiones al puerto 18983.
Referencias