Facebook Google Plus Twitter LinkedIn YouTube RSS Menu Search Resource - BlogResource - WebinarResource - ReportResource - Eventicons_066 icons_067icons_068icons_069icons_070

CVE-2019-12409: Apache Solr のデフォルト設定により、リモートでコードが実行される可能性あり



デフォルトの構成でApache Solrバージョン8.1.1および8.2.0を使用するLinuxサーバーには、リモートでコードが実行される脆弱性が存在します。

背景

2019年7月22日、オープンソースの検索エンジンプラットフォームであるApache Solrバージョン8.1.1および8.2.0に構成の欠陥が発見されました。この脆弱性はJohn Ryanh氏により報告され、Matei Badanoiu(Mal)氏は、これがリモートコード実行(RCE)につながる可能性があると指摘しました。

分析

CVE-2019-12409は、Apache Solrのsolr.in.shファイルのデフォルト構成の欠陥で、このファイルがバージョン8.1.1および8.2.0のデフォルト構成で使用される場合、RMI_PORT(デフォルト18983)で監視するJava Management Extensions (JMX)への認証されていないユーザーによるアクセスが許可されます。攻撃者は脆弱なSolrサーバーを介してJMXにアクセスし、悪意のあるコードをアップロードして実行することができます。

概念実証

現在、GitHubリポジトリで概念実証(PoC)が公開されています。この概念実証では、MOGWAI LABSによるMJETスクリプトを実装して、脆弱な構成のシステムにリバースシェルを作成します。

ソリューション

11月18日、脆弱性がRCEにつながる可能性があることが判明した後、Apache Solrはバグレポートを更新しました。さらに、Changelogでは、この脆弱性がApache Solr version 8.3で修正された脆弱性の1つであることが強調されています。

セキュリティアドバイザリによると、solr.in.shファイルでENABLE_REMOTE_JMX_OPTSパラメーターをfalseに設定することにより、この脆弱性を修正することもできます。この変更を確認するには、com.sun.management.jmxremote *プロパティーがJavaプロパティーセクションのSolr Adminインターフェースにリストされていないことを確認します。

影響を受けているシステムの特定

この脆弱性を識別するための Tenable のプラグインのリストは、リリースされた時点で こちら に表示されます。

詳細情報

Tenable コミュニティの Tenable セキュリティレスポンスチームに参加してみませんか。

現代のアタックサーフェスを総合的に管理する Cyber Exposure Platform を初めて提供した Tenable について詳細情報をご覧ください。

今すぐ Tenable.io Vulnerability Management の60日間無料トライアルをお試しください。


役立つサイバーセキュリティ関連のニュース

Tenable エキスパートからのタイムリーな警告とセキュリティガイダンスを見逃さないように、メールアドレスをご入力ください。