Descubren vulnerabilidad crítica afectando a Apache Solr

Una firma de especialistas en seguridad en redes ha reportado la aparición de una vulnerabilidad en la plataforma Apache Solr, cuyos desarrolladores han puesto bajo revisión continua debido al anuncio de un nuevo exploit. De ser explotada, esta vulnerabilidad permitiría a un actor de amenazas la ejecución remota de código en Solr gracias al envío de tráfico de red especialmente diseñado.

La vulnerabilidad, identificada como CVE-2017-12629, fue reportada por primera vez en julio pasado y corregida en Agosto de 2019. El problema surgió como una advertencia de baja prioridad relativa al acceso al puerto Java Management Extensions (JMX); los actores de amenazas podrían acceder a los datos de monitoreo expuestos mediante este puerto, menciona el reporte de seguridad en redes. Poco después del primer reporte, los investigadores tuvieron que reconsiderar la severidad de la falla hasta el punto en el que se le consideró un error crítico.

Finalmente, la divulgación pública sobre la vulnerabilidad crítica fue emitida esta semana. Al parecer, la falla se debe a un problema de configuración en el archivo solr.in.sh en Apache Solr. En el reporte, se menciona que: “un hacker no autenticado con acceso al puerto RMI podría explotar la vulnerabilidad para cargar código malicioso en el servidor e instalar un shell para una segunda etapa de ataque”.

Scott Caveza, especialista en seguridad en redes que reportó la vulnerabilidad como crítica, menciona que su presencia se limita a las versiones de Apache Solr 8.1.1 Y 8.2.0. Además, señala que cualquier persona con acceso a un servidor Solor vulnerable podría cargar el código malicioso necesario para la explotación de la falla.

Si bien la falla es crítica, no todo son malas noticias. Para corregir la vulnerabilidad, los administradores de sistemas pueden actualizar Apache Solr a la versión más reciente (8.3), o bien cambiar la configuración del archivo vulnerable a ENABLE_REMOTE_JMX_OPTS, mencionan los expertos del Instituto Internacional de Seguridad Cibernética. Este cambio se puede confirmar garantizando que las propiedades com.sun.management.jmxremote no se enumeran en la interfaz de Solr Admin en la sección Propiedades de Java.

El reporte completo, así como las instrucciones para corregir la vulnerabilidad y actualizar los sistemas afectados, está disponible en la plataforma oficial de los desarrolladores.