Tenable ブログ
ブログ通知を受信するCVE-2019-12409: Apache Solr のデフォルト設定により、リモートでコードが実行される可能性あり
デフォルトの構成でApache Solrバージョン8.1.1および8.2.0を使用するLinuxサーバーには、リモートでコードが実行される脆弱性が存在します。
背景
2019年7月22日、オープンソースの検索エンジンプラットフォームであるApache Solrバージョン8.1.1および8.2.0に構成の欠陥が発見されました。この脆弱性はJohn Ryanh氏により報告され、Matei Badanoiu(Mal)氏は、これがリモートコード実行(RCE)につながる可能性があると指摘しました。
分析
CVE-2019-12409は、Apache Solrのsolr.in.shファイルのデフォルト構成の欠陥で、このファイルがバージョン8.1.1および8.2.0のデフォルト構成で使用される場合、RMI_PORT(デフォルト18983)で監視するJava Management Extensions (JMX)への認証されていないユーザーによるアクセスが許可されます。攻撃者は脆弱なSolrサーバーを介してJMXにアクセスし、悪意のあるコードをアップロードして実行することができます。
概念実証
現在、GitHubリポジトリで概念実証(PoC)が公開されています。この概念実証では、MOGWAI LABSによるMJETスクリプトを実装して、脆弱な構成のシステムにリバースシェルを作成します。
CVE-2019-12409 Apache Solr RCE pic.twitter.com/NFClK5M5od
— Jas502n (@jas502n) November 19, 2019
ソリューション
11月18日、脆弱性がRCEにつながる可能性があることが判明した後、Apache Solrはバグレポートを更新しました。さらに、Changelogでは、この脆弱性がApache Solr version 8.3で修正された脆弱性の1つであることが強調されています。
セキュリティアドバイザリによると、solr.in.shファイルでENABLE_REMOTE_JMX_OPTSパラメーターをfalseに設定することにより、この脆弱性を修正することもできます。この変更を確認するには、com.sun.management.jmxremote *プロパティーがJavaプロパティーセクションのSolr Adminインターフェースにリストされていないことを確認します。
影響を受けているシステムの特定
この脆弱性を識別するための Tenable のプラグインのリストは、リリースされた時点で こちら に表示されます。
詳細情報
- Solrセキュリティアドバイザリ
- RMIベースのJMXサービスの攻撃
- SolrによるCVE-2019-12409のバグトラッカー
- GitHubリポジトリに公開されたCVE-2019-12409の概念実証
Tenable コミュニティの Tenable セキュリティレスポンスチームに参加してみませんか。
現代のアタックサーフェスを総合的に管理する Cyber Exposure Platform を初めて提供した Tenable について詳細情報をご覧ください。
今すぐ Tenable.io Vulnerability Management の60日間無料トライアルをお試しください。
関連記事
- Vulnerability Management