背景介紹

　　Solr是一個采用Java5開發、基于Lucene的全文高性能搜索服務，同時對其進行了擴展，提供了比Lucene更為豐富的查詢語言，同時實現了可配置、可擴展并對查詢性能進行了優化，并且提供了一個完善的功能管理界面。Java ManagementExtensions(JMX- 即Java管理擴展)是一種Java技術，為管理和監視應用程序、系統對象、設備(如打印機)和面向服務的網絡提供相應的工具。其實很多人都用過Solr，說出來很多人不信，但事實如此，每當你想買自己喜歡的東東時，你可能會打開某寶或者某東，像這樣一搜，就能搜到很多東西，你知道你看到的這些數據都來自哪兒嗎?不錯，就是solr提供的。solr本身也可以看成數據庫,(no sql類型?)，但它比數據庫搜索速度更快，所以在項目中一般把搜索的部分交給solr，就像在某東首頁所看到的商品信息，并不是來自數據庫，而是來源于sorl的索引庫。

　　漏洞說明

　　當地時間2019年11月18日，Apache Solr官方發布一則官方通告稱部分ubuntu版本的Solr存在一個遠程代碼執行漏洞(CVE-2019-12409)。該漏洞源于默認配置文件solr.in.sh中的ENABLE_REMOTE_JMX_OPTS配置選項存在安全風險，JMX 作為 Java的一種Bean管理機制，如果JMX服務端口暴露，那么遠程攻擊者可以讓該服務器遠程加載惡意的Bean文件，隨著Bean的濫用導致遠程代碼執行。截至2020年7月23日Apache Solr官方尚未發布補丁修復該漏洞，可能是因為對部分linux系統下的solr有影響，對windows系統不受影響，對此用戶可根據提供的緩解措施，參照本文的解決方案來排查受影響的版本。

　　l Apache Solr 8.2.0 for Ubuntu;

　　l Apache Solr 8.1.1 for ubuntu。

　　環境搭建

　　操作系統：Ubuntu 18.04(虛擬機)192.168.113.135;

　　中間件版本：Solr 8.2.0;

　　工具：Metasploit。

　　靶場搭建過程

　　下載solr8.2.0版本

　　http://archive.apache.org/dist/lucene/solr/8.2.0/。

　　進入solr-8.2.0/bin目錄下，查看solr.in.sh，發現ENABLE_REMOTE_JMX_OPTS="true"，該版本存在漏洞。

　　在bin目錄下啟動solr服務 ./solr -e dih -force。

　　使用nmap可以看到18983端口上的JMX服務開啟中。

　　訪問一下192.168.113.135:8983/solr/#/,至此環境搭建成功。

　　靶場以及漏洞利用過程

　　Java 環境如下。

　　利用msf 上exploit/multi/misc/java_jmx_server遠程代碼執行模塊進行漏洞利用。

　　注意點：一定要保證此漏洞是存在的，在前面的solr.in.sh文件中配置。

　　注意點：在配置文件中solr.in.sh,一定要打開18983 端口，方才成功連接。

　　成功接收到shell。

　　防范及修復建議

　　l 配置文件solr.in.sh的配置選項ENABLE_REMOTE_JMX_OPTS值改為”false”，然后重啟;

　　l 升級Solr版本;

　　l 同時，用戶應確認在Solr的管理員界面中的“Java Properties”選項中不包含 “com.sun.management.jmxremote*”的相關屬性信息;

　　l 保證 Solr 集群只能被可信任端點訪問;

　　l 啟用 Solr JMX 服務身份驗證;

　　l 關閉 Solr JMX 服務。

　　參考資源

　　[1]http://blog.nsfocus.net/cve-2019-12409/

　　[2]https://github.com/mogwailabs/mjet

　　[3]https://www.pianshen.com/article/2318951168/