WhiteHat News #ID:3333
VIP Members
-
04/06/2014
-
37
-
446 bài viết
Lỗ hổng JNDI trong bảng điều khiển cơ sở dữ liệu H2, tương tự như Log4Shell
Các chuyên gia an ninh mạng từ JFrog vừa phát hiện ra một lỗ hổng nghiêm trọng trên JNDI trong bảng điều khiển cơ sở dữ liệu H2, khai thác tương tự như Log4Shell. Điểm CVSS chưa được NIST thông báo chi tiết nhưng sẽ có mã CVE-2021-42392.
Trong một bài đăng trên blog, CVE-2021-42392 được đánh giá không nên phổ biến như Log4Shell mặc dù đây là một vấn đề nghiêm trọng có nguyên nhân gốc rễ tương tự.
JFrog giải thích rằng giao diện đặt tên và thư mục Java (JNDI) là một API cung cấp chức năng đặt tên và thư mục cho các ứng dụng Java. H2 là một cơ sở dữ liệu Java SQL mã nguồn mở được sử dụng rộng rãi được sử dụng cho các dự án khác nhau, từ các nền tảng web như Spring Boot đến các nền tảng IoT như ThingWorks. Các nhà nghiên cứu lưu ý rằng gói com.h2database: h2 là "một phần của 50 gói Maven phổ biến nhất".
Shachar Menashe, giám đốc cấp cao của nghiên cứu an ninh mạng Jfrogcho biết, tương tự như lỗ hổng Log4Shell được phát hiện vào đầu tháng 12, các URL do kẻ tấn công kiểm soát truyền vào bản tra cứu JNDI có thể cho phép thực thi mã từ xa chưa được xác thực, cho phép kẻ tấn công kiểm soát duy nhất hoạt động của người khác hoặc hệ thống của tổ chức.
Gói cơ sở dữ liệu H2 là một trong những gói đầu tiên được xác thực và đã báo cáo nó với những người bảo trì H2, ngay lập tức đã được sửa trong một bản phát hành mới.
Theo JFrog, một số đường dẫn mã trong khung cơ sở dữ liệu H2 truyền không được lọc trong các URL do kẻ tấn công kiểm soát tới hàm javax.naming.Context.lookup, mà họ cho biết cho phép tải cơ sở mã từ xa. Trong số tất cả các cuộc tấn công, nghiêm trọng nhất là thông qua bảng điều khiển H2.
Báo cáo lưu ý rằng do cơ sở dữ liệu H2 được sử dụng rất nhiều, nên rất khó để họ có thể xác định số lượng dễ bị tấn công của bảng điều khiển H2 trên thực tế. JFrog cũng giải thích một số vectơ tấn công khác sử dụng cùng một lỗ hổng.
JFrog đề nghị người dùng nâng cấp cơ sở dữ liệu H2 của họ lên phiên bản mới nhất và lưu ý rằng đã thấy một số công cụ dành cho nhà phát triển "dựa vào cơ sở dữ liệu H2 và đặc biệt tiết lộ bảng điều khiển H2".
Theo các nhà nghiên cứu, phiên bản 2.0.206 tương tự như Log4j 2.17.0 vì nó khắc phục sự cố bằng cách giới hạn các URL JNDI chỉ sử dụng giao thức java (cục bộ), từ chối mọi truy vấn LDAP / RMI từ xa.
JFrog cũng cung cấp một số tùy chọn giảm thiểu cho những người không thể nâng cấp H2.
Trong một bài đăng trên blog, CVE-2021-42392 được đánh giá không nên phổ biến như Log4Shell mặc dù đây là một vấn đề nghiêm trọng có nguyên nhân gốc rễ tương tự.
Shachar Menashe, giám đốc cấp cao của nghiên cứu an ninh mạng Jfrogcho biết, tương tự như lỗ hổng Log4Shell được phát hiện vào đầu tháng 12, các URL do kẻ tấn công kiểm soát truyền vào bản tra cứu JNDI có thể cho phép thực thi mã từ xa chưa được xác thực, cho phép kẻ tấn công kiểm soát duy nhất hoạt động của người khác hoặc hệ thống của tổ chức.
Gói cơ sở dữ liệu H2 là một trong những gói đầu tiên được xác thực và đã báo cáo nó với những người bảo trì H2, ngay lập tức đã được sửa trong một bản phát hành mới.
Theo JFrog, một số đường dẫn mã trong khung cơ sở dữ liệu H2 truyền không được lọc trong các URL do kẻ tấn công kiểm soát tới hàm javax.naming.Context.lookup, mà họ cho biết cho phép tải cơ sở mã từ xa. Trong số tất cả các cuộc tấn công, nghiêm trọng nhất là thông qua bảng điều khiển H2.
Báo cáo lưu ý rằng do cơ sở dữ liệu H2 được sử dụng rất nhiều, nên rất khó để họ có thể xác định số lượng dễ bị tấn công của bảng điều khiển H2 trên thực tế. JFrog cũng giải thích một số vectơ tấn công khác sử dụng cùng một lỗ hổng.
JFrog đề nghị người dùng nâng cấp cơ sở dữ liệu H2 của họ lên phiên bản mới nhất và lưu ý rằng đã thấy một số công cụ dành cho nhà phát triển "dựa vào cơ sở dữ liệu H2 và đặc biệt tiết lộ bảng điều khiển H2".
Theo các nhà nghiên cứu, phiên bản 2.0.206 tương tự như Log4j 2.17.0 vì nó khắc phục sự cố bằng cách giới hạn các URL JNDI chỉ sử dụng giao thức java (cục bộ), từ chối mọi truy vấn LDAP / RMI từ xa.
JFrog cũng cung cấp một số tùy chọn giảm thiểu cho những người không thể nâng cấp H2.
Theo: ZDNet
Chỉnh sửa lần cuối bởi người điều hành: