【安全报告】ApacheSolr已知版本漏洞现状基本调查报告

0x00 背景介绍

Apache Solr 是一种可供企业使用的、基于 Lucene 的搜索服务器。 该产品于 2017 年 10 月被爆出存在严重的 XXE 和 RCE 漏洞,攻击者可以使 用这些漏洞来读取服务器任意文件,甚至进行远程命令执行。这将给被攻击站点造成严重危害。

0x01 全网扫描数据分析

360 CERT 根据已知的 Apache Solr 漏洞, 编写了针对各个版本的漏洞检 测脚本,并对全网进行了针对性扫描(主要针对默认端口 8983),发现全网存 在大量受已知漏洞影响的站点。具体分布情况如下:

1、全球范围分布情况

通过全网检测的结果,发现当前公网上存在受已知漏洞影响的 Solr 总数为9626,在全球的分布状况如下:

受影响的前十个国家占比情况如下：

2、全国范围分布情况

通过全网检测的结果，可以看到当前国内公网上存在Solr各个漏洞的总数为1685，在全国的分布状况如下：

前15个受影响省份的数量统计如下表：

存在漏洞的站点中，前十个省份的占比情况如下图：

存在漏洞的站点中，前十个城市的占比情况如下图：

3、Solr各版本漏洞数量、比例

360CERT针对全网的检测中涉及的漏洞主要有：

1.   未授权访问漏洞

2.   CVE-2017-12629中的RCE漏洞（通过版本号评估）

在所有未授权访问漏洞中，排名前十个的Solr版本比例如下：

其中数量前十位的版本号情况如下：

通过版本比例可以预估，全网可能包含的RCE漏洞总数为4124：

比例图如下：

本次RCE&&XXE漏洞影响Solr的版本广泛，通过上述信息可以看出全网有相当数量的Solr站点将可能受到影响。

4、存在漏洞的站点（部分列表）

中国存在未授权访问漏洞扫描结果总数为：1685，下表为其中部分站点：

0x02 时间线

2017-10-20        360CERT完成Solr XXE&&RCE漏洞初步分析

2017-10-21        360CERT完成Solr XXE&&RCE漏洞详细分析

2017-10-24        360CERT完成全网范围分析报告

0x03 参考文档

https://www.exploit-db.com/exploits/43009/

http://seclists.org/oss-sec/2017/q4/105

https://wiki.apache.org/solr/SolrSecurity