继 Oracle WebLogic之后 黑客又盯上了Apache SOLR服务器漏洞

Morphus实验室的首席研究官Renato Marinho曾在今年1月份发文指出，有犯罪集团利用一个在2017年12月份被首次公开披露的漏洞（CVE-2017-10271）针对Oracle WebLogic服务器展开了大规模的攻击活动。而其最终目的是在受感染的WebLogic服务器上安装加密货币挖矿恶意软件，以此来挖掘门罗币和AEON币。

现在，由于大多数Oracle WebLogic服务器都已经得到了修复，使得该集团不得不转移到下一个目标。根据Marinho的说法，易受攻击的Apache SOLR服务器似乎就已经成为了Oracle WebLogic服务器的“继承者”。

Marinho表示，在2月28日到3月8日这短短的9天里，一个犯罪集团在全球范围内使用恶意软件感染了1416台易受攻击的Apache SOLR服务器，并部署了众所周知的门罗币矿工（XMRig）。

Marinho怀疑这一犯罪集团极有可能就是Oracle WebLogic服务器攻击事件背后的组织者。因为两次攻击之间存在很多相似之处，如日志格式、文件名以及矿工的基本安装脚本都是相同的。当然，Marinho也表示不排除是仿冒者所谓，因为自这些脚本被公开以来已经有一段相对较长的时间了。

Apache SOLR是一个基于Lucene java库的企业级搜索服务器，主要功能包括全文检索、分面搜索（faceted search）、近实时索引、富文本索引以及空间搜索等等。其在全球拥有众多用户，如AOL、Disney、Apple等。

攻击中的利用的Apache SOLR漏洞被标识为CVE-2017-12629，这是一个在2017年10月12日首次被公开披露的远程代码执行漏洞，影响Apache SOLR 7.1及之前版本。由于“queryparser”库中配置错误的XML解析器，攻击者可以访问敏感信息或在易受攻击的系统上执行任意代码。

CVSS v2评分为7.5，CVSS v3评分为9.8，这意味着它属于一个高危漏洞，或者“Critical（关键）”漏洞。在它被公开披露不到一周之后，就已经得到了网络犯罪分子的广泛应用。因此，它会成为Oracle WebLogic服务器的“继承者”并不奇怪。

根据Marinho的说法，受感染设备数量一直在持续增加。在2月28日到3月8日期间，这场攻击活动共感染了1777台设备，其中有1416台是Apache SOLR服务器。

值得注意的是，由于漏洞来源于“queryparser”库中配置错误的XML解析器，因此依赖于“queryparser”的其他软件也可能存在被攻击的风险。这可能包括：IBM InfoSphere 11.5版本、JBoss Data Grid verions 7.0.0,7.1.0版本、JBoss Enterprise Application Platform（EAP）6,7,7.0.8版本以及JBoss Enterprise Portal Platform 6版本等。

Marinho告诉媒体，目前无法确定该集团利用受感染的Apache Solr服务器挖掘了多少数量的门罗币，因为他们使用了代理来访问Monero挖矿池，这使得他们能够隐藏其门罗币钱包地址。

本文由 黑客视界 综合网络整理，图片源自网络；转载请注明“转自黑客视界”，并附上链接。