Crédit : Dreamstime
Les scientifiques ont mis en garde contre une toute nouvelle faille Java critique affectant la console de la base de données H2 Java SQL populaire avec exactement la même origine que la vulnérabilité Log4Shell dans Apache Log4j. Selon JFrog, le problème présente un risque critique d’exécution de code à distance (RCE) non authentifié pour des organisations spécifiques qui doivent mettre à jour leurs bases de données H2 immédiatement.
Cause racine de la vulnérabilité H2 similaire à Log4Shell, moins d’exploitation scope
Comme Log4Shell, le défaut (CVE-2021-42392) concerne le chargement de classe à distance JNDI (Java Naming and Directory Interface). Un attaquant pourrait déclencher RCE s’il parvient à placer une URL nuisible dans une recherche JNDI, ont expliqué les chercheurs de JFrog dans un article.
« En résumé, la cause première ressemble à Log4Shell : plusieurs cours de code dans la structure de la base de données H2 transmettent des URL contrôlées par un attaquant non filtrées à la fonction javax.naming.Context.lookup, qui permet le chargement de la base de code à distance (code Java AKA injection AKA exécution de code à distance). »
Toute organisation exécutant une console H2 qui est exposée à son LAN ou WAN est une menace vitale, tandis que la menace posée aux outils de conception dépendants de H2 est également considérable, a déclaré JFrog.
CVE-2021-42392, qui attend actuellement l’analyse de la base de données nationale sur les vulnérabilités, diffère considérablement de la vulnérabilité Log4j dans sa portée d’exploitation, ont ajouté les scientifiques.
« Contrairement à Log4Shell, cette vulnérabilité a une portée d’effet ‘directe’. Cela suggère qu’habituellement le serveur qui traite la demande initiale (la console H2) sera le serveur qui sera impacté par RCE. C’est moins sévère par rapport à Log4Shell car les serveurs vulnérables devraient être beaucoup plus faciles à trouver. »
Sur les distributions vanilla de la base de données H2, la console H2 n’écoute que les connexions localhost par défaut – ce qui rend le paramètre par défaut sûr . « Ceci est différent de Log4Shell, qui était exploitable dans la configuration par défaut de Log4j. »
De nombreux fournisseurs peuvent également exécuter la base de données H2, mais pas la console H2 elle-même, et bien qu’il existe d’autres vecteurs pour exploiter ce problème en dehors de la console, ces autres vecteurs dépendent du contexte et moins le plus susceptible d’être exposé à des agresseurs distants, a déclaré JFrog.
Pour vérifier si une organisation est vulnérable à CVE-2021-42392, les administrateurs réseau peuvent analyser leurs sous-réseaux locaux pour rechercher les circonstances ouvertes de la console H2 avec nmap.
Comment réduire le danger RCE de CVE-2021-42392
Chris Morgan, analyste senior du renseignement sur les risques cyber chez Digital Shadows, déclare que la nouvelle vulnérabilité présentent probablement des groupes de sécurité avec des maux de tête comparables à ceux de la divulgation Log4Shell. Cela peut particulièrement affecter les bundles Apache Maven, un outil de gestion et de compréhension des tâches logicielles.
« Comme avec Log4Shell, l’un des principaux obstacles sera de se dépêcher de déterminer les systèmes sujets et de les corriger avant que les attaquants puissent les exploiter dans des attaques en direct », informe-t-il CSO.
Pour faire face au problème et réduire la menace de succomber au RCE, tous les utilisateurs de la base de données H2 doivent mettre à jour vers la variante 2.0.206, qui restreint les URL JNDI à utiliser uniquement le protocole Java (régional), le Les chercheurs de JFrog ont déclaré. Cela devrait être fait même s’ils n’utilisent pas directement la console H2, y compris. « Cela est dû au fait que d’autres vecteurs d’attaque existent et que leur exploitabilité peut être difficile à établir. »
Si la mise à niveau de H2 n’est pas possible, les versions plus récentes de Java qui contiennent l’atténuation trustURLCodebase peuvent éviter les bases de code d’être remplies naïvement au moyen de JNDI. Cette atténuation n’est cependant pas à toute épreuve et est autorisée par défaut sur les variantes suivantes ou ultérieures de Java : 6u211, 7u201, 8u191 et 11.0.1.
En outre, « lorsque la Servlet de la console H2 est publié sur un serveur Web (n’utilisant pas le serveur Web autonome H2), une contrainte de sécurité peut être ajoutée qui permettra uniquement à des utilisateurs particuliers d’accéder à la page de la console », lit-on dans la publication de JFrog.
Toute l’actualité en temps réel, est sur L’Entrepreneur
