Acorde a especialistas en pruebas de penetración, hace algunas semanas se reportó el hallazgo de una vulnerabilidad día cero en Apache Solr, una plataforma de búsqueda empresarial de código abierto usada por algunas grandes compañías como Adobe, Bloomber, eBay, Instagram y Netflix. A pesar de incluso existe una prueba de concepto, el riesgo de explotación sigue presente.
Además de este reporte han surgido dos nuevas vulnerabilidades de ejecución remota de código. La primera de estas fallas, identificada como CVE-2019-12409, fue corregida por el equipo de Apache Solr. Por otra parte, la segunda vulnerabilidad (que aún no cuenta con código de identificación) sigue sin ser corregida.
La primera vulnerabilidad, reportada por el experto en pruebas de penetración John Ryan en julio pasado, había sido considerada de gravedad media al inicio. No obstante, el investigador Matei Badanoiu acabad e demostrar que la vulnerabilidad podría ser explotada para desplegar un ataque de ejecución remota de código, por lo que fue reclasificada como una vulnerabilidad de alta gravedad.
La crítica de la comunidad de la ciberseguridad no se hizo esperar, pues muchos consideran que el diagnóstico inicial puso en riesgo a decenas, o incluso cientos de compañías. Debido a que el código de la prueba de concepto fue publicado en GitHub al alcance de cualquiera, era altamente probable que comenzaran a reportarse ataques en escenarios reales.
Al respecto, Apache Solr publicó un comunicado mencionando: “Las versiones 8.1.1 y 8.2.0 de Solr se ven afectadas por una configuración insegura para la opción de configuración ENABLE_REMOTE_JMX_OPTS en el archivo de configuración predeterminado solr.in.sh; las implementaciones de Windows no se ven afectadas por esta falla”.
Acorde a los expertos en pruebas de penetración, si se usa un archivo predeterminado solr.in.sh en las versiones afectadas, el monitoreo JMX será habilitado, exponiendo RMI_PORT sin autenticación. Este escenario permitiría a un actor de amenazas acceder a JMX, cargar código malicioso y ejecutarlo en el servidor Solr.
En cuanto a la segunda vulnerabilidad, fue publicada una prueba de concepto como un GitHub Gist (fragmentos de código publicados en la plataforma); según reportaron los expertos de la firma de seguridad Tenable, la prueba de concepto fue publicada indebidamente, pues se ignoraba si la compañía ya había desarrollado una corrección.
Se ha confirmado que las versiones de Apache Solr entre 7.2.2 y 8.3, la versión más reciente, son vulnerables. Además, los investigadores de Tenable creen que es posible que algunas versiones anteriores que incluyan la API de configuración también pudieran ser vulnerables.
Acorde a los especialistas en pruebas de penetración del Instituto Internacional de Seguridad Cibernética (IICS), es altamente probable que los actores de amenazas ya hayan accedido a la prueba de concepto, por lo que estamos en la antesala de una campaña masiva de explotación de esta falla. A pesar de que la prueba de concepto ya no se encuentre en GitHub, debe ser posible encontrarla en alguno de los muchos foros de hacking en dark web.
Por precaución, los administradores de servidores deben actualizar sus configuraciones de seguridad según las recomendaciones emitidas por cada proveedor, además de realizar algunas pruebas para comprobar que sus sistemas no hayan sido atacados con anterioridad e implementar la autenticación.