위험한 Apache Solr 원격 코드 실행 취약점의 익스플로잇 코드 공개돼

Exploit code published for dangerous Apache Solr remote code execution flaw

Apache Solr 팀이 지난여름에 수정한 보안 버그가 실제로 훨씬 위험했던 것으로 드러났습니다. 

Apache Solr는 자바 기반 오픈 소스 검색 엔진으로 CNET 웹사이트에 검색 기능을 추가하기 위해 처음 개발되었습니다. 

이 프로젝트는 2006년 Apache Software Foundation에 기증되었으며, 빠른 속도와 확장된 기능을 포함하고 있어 전 세계에서 사용되고 있습니다. 

지난여름, “jnyryan”이라는 한 사용자가 새로운 Solr 인스턴스에 포함된 디폴트 solr.in.sh 구성 파일에 안전하지 않은 옵션이 포함되어있다고 Solr 프로젝트에 제보했습니다. 

이 디폴트 구성에서는 ENABLE_REMOTE_JMX_OPTS 옵션 세트가 활성화되어있어 포트 8983이 원격 연결에 노출되게 됩니다. 

이 문제가 제보되었을 당시, Apache Solr 팀은 이 문제를 그리 큰 문제로 여기지 않았습니다. 또한 공격자가 크게 쓸모없는 Solr 모니터링 데이터에만 접근할 수 있다고 생각했습니다. 

하지만 지난 10월 30일, 한 사용자가 공격자가 이 문제를 악용해 “원격 코드 실행 공격”을 실행할 수 있는 PoC 코드를 GitHub에 공개해 문제가 생각보다 심각했음이 밝혀졌습니다. 이 PoC 코드는 노출된 8983 포트를 통해 Solr 서버의 Apache Velocity 템플릿 지원을 활성화하고, 이 두 번째 기능을 활용해 악성코드를 업로드 및 실행합니다. 

이틀 후 더욱 다듬어진 두 번째 PoC 코드가 온라인에 공개되어 보다 쉽게 공격을 실행할 수 있게 되었습니다.

Solr 팀은 이 코드가 공개된 후에야 버그가 얼마나 위험했는지 깨닫게 되었으며, 11월 15일, 이들은 업데이트한 보안 권고를 발행했습니다. Solr 팀은 관리자들에게 solr.in.sh 구성 파일의 ENABLE_REMOTE_JMX_OPTS 옵션을 모든 Solr 노드에서 “false”로 설정하고 Solr를 재시작할 것을 권고했습니다. 

또한 시스템이 인터넷에 노출된 채 사용되도록 설계되지 않았으며 폐쇄적이며 엄격히 모니터링되는 내부 네트워크 일부에만 사용하기 때문에 Solr 서버를 방화벽 뒤에 위치시킬 것을 추천했습니다. 

Solr 팀은 리눅스에서 실행되는 Solr 버전만 이 취약점에 영향을 받는다고 밝혔습니다. 

하지만, 어떤 버전이 영향을 받는지는 여전히 알 수 없었습니다. Solr 팀은 보안 권고를 통해 v8.1.1과 v8.2.0만 취약하다고 밝혔으나, 지난주 블로그 포스트에서 Tenable 연구 팀은 이 취약점이 v7.7.2부터 최신 버전인 v8.3에까지 존재해 영향이 더욱 크다고 밝혔습니다. 

실제 공격은 아직 없으나 곧 발생할 것으로 예상돼 

좋은 소식은, 아직까지는 이 취약점을 활용한 실제 공격이 아직까지 발견되지 않았다는 것입니다. 하지만 이는 시간문제일 뿐입니다. 

Apache Solr 인스턴스는 일반적으로 대규모 컴퓨팅 리소스에 접근이 가능하며 과거 악성코드의 공격을 많이 받았습니다. 

예를 들자면, CVE-2017-12629 및 CVE-2019-0193은 익스플로잇 코드가 공개된 후 불과 몇 주 내에 해커의 타깃이 되었습니다. 공격자는 이 두 취약점을 악용해 Solr 서버에 접근하여 패치되지 않은 서버에 가상 화폐 마이닝 악성코드를 심었습니다. 

새로운 Solr 버그는 원격 코드 실행으로 이어질 수 있으며 이미 익스플로잇 코드가 공개된 상태이기 때문에 전문가들은 수일 또는 수주 내 이 보안 취약점을 악용한 실제 공격이 발생할 것으로 예상했습니다. 

이 보안 취약점은 CVE-2019-12409로 등록되었습니다.

출처 : 

https://www.zdnet.com/article/exploit-code-published-for-dangerous-apache-solr-remote-code-execution-flaw/

https://lucene.apache.org/solr/news.html

https://issues.apache.org/jira/browse/SOLR-13647

https://www.tenable.com/blog/apache-solr-vulnerable-to-remote-code-execution-zero-day-vulnerability