Apache Solr è un motore di ricerca open source basato su Lucene, ampiamente utilizzato per l’indicizzazione e la ricerca di contenuti all’interno di applicazioni web. Nel marzo 2019, è stata scoperta una vulnerabilità critica che consente ad un attaccante di eseguire codice remoto sul server che ospita l’applicazione. Questa vulnerabilità è stata identificata come CVE-2019-3799 ed è stata rapidamente sfruttata dai criminali informatici per attaccare applicazioni web che utilizzano Solr come motore di ricerca.

La vulnerabilità CVE-2019-3799 è causata da un’insufficiente validazione dei dati di input all’interno della gestione delle richieste HTTP in Solr. In particolare, l’exploit sfrutta la presenza di una falla di sicurezza nella classe “Config API”, che consente di caricare file di configurazione contenenti codice malevolo.

L’attaccante può sfruttare questa falla per caricare un file di configurazione appositamente creato, contenente codice malevolo, come ad esempio un file JAR o WAR, che viene quindi eseguito dal server. In questo modo, l’attaccante può ottenere l’esecuzione remota di codice sul server Solr compromesso.

Il problema si verifica quando si utilizza il componente “Apache Solr DataImportHandler”, che consente l’importazione di dati da fonti esterne, come ad esempio un database. Nel dettaglio, l’attaccante deve creare un file di configurazione appositamente progettato e inviarlo al server di destinazione, caricandolo nella directory “/solr/configsets/{configset_name}/conf/”.

Per risolvere la vulnerabilità CVE-2019-3799, è necessario aggiornare Apache Solr alla versione 8.2.0 o successiva, che include una patch per la falla di sicurezza. Inoltre, si consiglia di seguire le migliori pratiche per la sicurezza delle applicazioni web, come ad esempio limitare l’accesso ai componenti di Solr solo ai sistemi di cui si ha fiducia e limitare le funzionalità di importazione dei dati solo alle origini di cui si ha fiducia.