Cabecera-v2-web.jpg

Vulnerabilidad CVE-2019-12409 en Apache Solr podría permitir la ejecución de código remoto


Apache-Solr-1.png


Solr es un servidor de búsquedas open source, que se encuentra escrito en Java, entre sus principales características están:

  • Búsquedas de texto completo
  • Clustering dinámico
  • Facetado de resultados de búsquedas
  • Indexación acelerada, entre otras

Grandes compañías, como por ejemplo Netflix, Sears, DuckDuckGo, utilizan Solr para realizar búsquedas, se puede ver la lista completa en: https://cwiki.apache.org/confluence/display/solr/PublicServers


¿Qué pasó?

El 18 de noviembre sale a luz el CVE-2019-12409, en el cual se describe una falla de seguridad encontrada en el archivo de configuración “solr.in.sh”, si este archivo queda configurado por defecto para las versiones 8.1.1 y 8.2, quedará habilitado el acceso sin autenticación al JAVA Management Extensions (JMX), que en su defecto escucha en el puerto 18983 permitiendo a un atacante subir código malicioso para su ejecución. Chan!

Actualmente existe un exploit público disponible:


Recomendaciones

Siempre es recomendable tener todo nuestro software actualizado a la última versión disponible, en este caso solr 8.3, en caso de no ser posible, las siguientes recomendaciones podrían mitigar el ataque:

  • En el archivo de configuración cambiar el valor de “ENABLE_REMOTE_JMX_OPTS” a false.
  • Filtrar las conexiones al puerto 18983.

Referencias


pie.png

CERT-PY | Centro de Respuestas a Incidentes Cibernéticos
Ministerio de Tencnologí­as de la Información y Comunicación (MITIC)

Avda. Gral. Santos c/ Concordia | Telefono: (595 21) 217-9000
República del Paraguay

80x15.png

Versión del Template 1.11