Falha no Apache Solr é mais perigosa do que se pensava

Falha no Apache Solr é mais perigosa do que se pensava
apache-solr-logo

Um problema de segurança corrigido recentemente pela equipe do Apache Solr se mostrou mais grave do que aparentava. O Apache Solr é um mecanismo de pesquisa de código aberto baseado em Java, desenvolvido inicialmente para adicionar funcionalidade de pesquisa ao site da CNET. O projeto foi doado para a Apache Software Foundation em 2006, de onde ganhou uso mundial devido à sua velocidade e ao amplo conjunto de recursos. Porém, agora descobriu-se que a falha no Apache Solr é mais perigosa do que se pensava.

Há vários meses o problema foi relatado

Um usuário chamado “jnyryan” relatou ao projeto Solr que o arquivo de configuração padrão solr.in.sh incluído em todas as novas instâncias do Solr continha uma opção insegura.

A configuração padrão fornecida com a opção ENABLE_REMOTE_JMX_OPTS foi definida como habilitada, que, por sua vez, expôs a porta 8983 a conexões remotas.

No momento em que foi relatado, a equipe do Apache Solr não considerava isso um grande problema. Da mesma forma, os desenvolvedores achavam que um invasor só podia acessar dados de monitoramento do Solr e nada mais.

Porém, as coisas ficaram muito piores quando, em 30 de outubro, um usuário publicou um código de prova de conceito no GitHub mostrando como um invasor poderia abusar do mesmo problema em ataques de “execução remota de código” (RCE). O código de prova de conceito usou a porta 8983 exposta para ativar o suporte aos modelos do Apache Velocity no servidor Solr. Então, em seguida, usou esse segundo recurso para fazer upload e executar código malicioso.

Foi somente após a publicação desse código que a equipe do Solr percebeu o quão perigoso esse bug realmente era. Em 15 de novembro, eles emitiram um comunicado de segurança atualizado. Em seu alerta, a equipe do Solr recomendou que os administradores do Solr definissem a opção ENABLE_REMOTE_JMX_OPTS no arquivo de configuração solr.in.sh como false em cada nó do Solr e reinicie o Solr.

Eles também recomendam que os usuários mantenham os servidores Solr protegidos por firewalls, pois esses sistemas nunca foram projetados para ficar expostos na Internet, mas apenas parte de redes internas fechadas e monitoradas com rigor.

A equipe do Solr disse que apenas as versões do Solr em execução no Linux são impactadas.

No entanto, ainda há algum mistério sobre quais versões são impactadas. Em seu comunicado de segurança, a equipe do Solr disse que apenas as v8.1.1 e v8.2.0 são vulneráveis. Contudo, em uma postagem no blog da semana passada, a equipe de pesquisa da Tenable disse que o impacto é muito maior, com a vulnerabilidade afetando todas as versões do Solr. v7.7.2 a v8.3, a versão mais recente.

Por enquanto, nenhum ataque foi detectado

A boa notícia é que, no momento, nenhum ataque foi detectado. No entanto, isso é apenas uma questão de tempo.

As instâncias do Apache Solr geralmente têm acesso a grandes recursos computacionais e, historicamente, têm sido muito procuradas pelos alvos por grupos de malware.

Por exemplo, CVE-2017-12629 e CVE-2019-0193 foram alvejados por hackers em poucas semanas após os detalhes e o código de exploração se tornarem públicos. Nos dois casos, os invasores usaram as duas vulnerabilidades para obter acesso aos servidores Solr e plantar malware de mineração de criptomoeda em servidores sem patch.

Como já sabemos que esse novo bug do Solr pode levar à execução remota de código. Como já temos o código de exploração pública prontamente disponível, os especialistas esperam que essa falha de segurança sofra ataques massivos nos próximos dias ou semanas.

Este novo bug do Solr é rastreado como CVE-2019-12409.

Fonte: ZDNet