Apache Solr RCE 0 day漏洞

背景

2019年10月29日，有研究人員在GitHub上公布了Apache Solr RCE漏洞的PoC代碼。Solr是Apache Lucene內置的開源平台。PoC公布之初，該漏洞沒有CVE編號也沒有來自Apache的官方確認。Tenable研究人員分析確認了Apache Solr v7.7.2 到 8.3 版本都受到該漏洞的影響，研究人員還推測包含Config API的老版本也受該漏洞的影響。

分析

根據該PoC，攻擊者在識別出Solr core名後可以攻擊有漏洞的Apache Solr實例。在識別出core名後，攻擊者可以發送精心偽造的HTTP POST請求到Config API來將solrconfig.xml文件的Velocity Response Writer的params resource loader值修改為true。

啟用該參數使得攻擊者可以在偽造的Solr請求中使用velocity template參數，最終引發RCE。

雖然最近發布的Apache Solr 8.3解決了7月報告的默認配置漏洞，但Velocity template漏洞仍然沒有修復。

PoC

研究人員於2019年10月29日將PoC上傳到了Github Gist。今天后，漏洞利用腳本也公布在Github上。

Github Gist：https://gist.github.com/s00py/a1ba36a3689fa13759ff910e179fc133

漏洞利用腳本：https://github.com/jas502n/solr_rce

解決方案

截至目前，官方仍沒有發布補丁。在補丁發布前，研究人員建議更新在Apache Solr中添加實例來防止該漏洞被攻擊者利用。檢查solrconfig.xml配置中的VelocityResponseWriter類來確保params resource loader的值是false。

除非Config API被鎖定，攻擊者還可以修改solrconfig.xml文件。

註：本文翻譯自：https://zh-cn.tenable.com/blog/apache-solr-vulnerable-to-remote-code-execution-zero-day-vulnerability

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！