近日安全研究人员JanHøydahl披露了Apache Solr的8.1.1和8.2.0发行版中的默认配置文件solr.in.sh,在其配置文件中ENABLE_REMOTE_JMX_OPTS字段默认配置不安全.如果使用受影响版本中的默认配置,那么将启用JMX监视服务并将对公网监听一个18983的RMI端口,且无需进行任何身份验证,配合JMX RMI将会导致远程代码执行.
CVE编号
CVE- 2019-12409
漏洞威胁等级
高危
影响范围
8.1.1和8.2.0
简单分析
我们可以使用自带的Jconsole访问JMX服务
而JMX RMI远程代码成因主要是由于远程客户端可以创建javax.management.loading.MLet MBean,并使用它通过任意URL创建新的MBean,滥用MBean即可造成远程代码执行.
攻击过程一般如下
- 1.启动托管MLet和含有恶意MBean的JAR文件的Web服务器
- 2.使用JMX在目标服务器上创建
MBeanjavax.management.loading.MLet的实例 - 3.调用MBean实例的
getMBeansFromURL方法,将Web服务器URL作为参数进行传递。JMX服务将连接到http服务器并解析MLet文件 - 4.JMX服务下载并归档MLet文件中引用的JAR文件,使恶意MBean可通过JMX获取
- 5.攻击者最终调用来自恶意MBean的方法
这个攻击思路来源于n0tr00t参加阿里的一次CTF大赛.我们除了可以使用msf攻击JMX RMI,还可以使用mjet
修复建议
目前Apache Solr官方尚未发布新版本修复该漏洞,请受影响用户保持关注。
https://lucene.apache.org/solr/
临时缓解措施
Apache Solr官方提供了以下缓解措施:
1、将Solr安装目录/bin文件夹下的solr.in.sh 配置文件中的“ENABLE_REMOTE_JMX_OPTS”=”true”配置项改为 “false”,然后重启Solr。
2、同时,应确认在Solr的管理员界面中的“Java Properties”选项中不包含 “com.sun.management.jmxremote*”的相关属性信息。
3、限制Solr的公网访问,只允许可信流量与Solr建立通信。
