Llegamos a ustedes gracias a:



Alertas de Seguridad

Una nueva vulnerabilidad del tipo Log4Shell

Afecta a la base de datos H2 Java SQL

[11/01/2022] Los investigadores han advertido de una nueva falla crítica de Java que afecta a la consola de la popular base de datos H2 Java SQL, y que tiene la misma causa que la vulnerabilidad Log4Shell de Apache Log4j. Según JFrog, el problema conlleva un riesgo crítico de ejecución remota de código (RCE) sin autenticación para ciertas organizaciones que deberían actualizar sus bases de datos H2 inmediatamente.

La causa de la vulnerabilidad H2 es similar a la de Log4Shell, pero el alcance de la explotación es menor

Al igual que Log4Shell la falla (CVE-2021-42392) está relacionada con la carga remota de clases de la interfaz de nombres y directorios de Java (JNDI). Un atacante podría desencadenar un RCE si es capaz de insertar una URL maliciosa en una búsqueda JNDI, explican los investigadores de JFrog en una entrada de su blog.

"En pocas palabras, la causa raíz es similar a la de Log4Shell: varias rutas de código en el marco de la base de datos H2 pasan URLs no filtradas controladas por el atacante a la función javax.naming.Context.lookup, lo que permite la carga remota de código (alias inyección de código Java, alias ejecución remota de código)". Cualquier organización que ejecute una consola H2 que esté expuesta a su LAN o WAN se encuentra en riesgo crítico, mientras que la amenaza que suponen las herramientas para desarrolladores dependientes de H2 también es significativa, señaló JFrog.

Sin embargo, CVE-2021-42392, que actualmente está a la espera de ser analizada por la National Vulnerability Database, difiere significativamente de la vulnerabilidad Log4j en su alcance de explotación, añadieron los investigadores. "A diferencia de Log4Shell, esta vulnerabilidad tiene un alcance de impacto 'directo'. Esto significa que, por lo general, el servidor que procesa la solicitud inicial (la consola H2) será el que reciba el impacto del RCE. Esto es menos grave en comparación con Log4Shell, ya que los servidores vulnerables deberían ser más fáciles de encontrar".

Además, en las distribuciones de la base de datos H2, la consola H2 solo escucha conexiones localhost por defecto, lo que hace que la configuración por defecto sea segura. "Esto es diferente a Log4Shell, que era explotable en la configuración por defecto de Log4j". Muchos vendedores también pueden estar ejecutando la base de datos H2, pero no ejecutando la consola H2 en sí, y aunque hay otros vectores para explotar este problema aparte de la consola, estos otros vectores son dependientes del contexto y es menos probable que estén expuestos a los atacantes remotos, sostuvo JFrog.

Para comprobar si una organización es vulnerable a CVE-2021-42392, los administradores de red pueden escanear sus subredes locales en busca de instancias abiertas de la consola H2 con nmap.

Cómo mitigar la amenaza RCE de CVE-2021-42392

Chris Morgan, analista senior de inteligencia de ciberamenazas en Digital Shadows, dice que la nueva vulnerabilidad probablemente presentará a los equipos de seguridad dolores de cabeza similares a los de la revelación de Log4Shell. Puede afectar especialmente a los paquetes de Apache Maven, una herramienta de gestión y comprensión de proyectos de software. "Al igual que con Log4Shell, uno de los principales obstáculos será apresurarse a identificar los sistemas susceptibles y remediarlos antes de que los atacantes puedan explotarlos en ataques en vivo", indica.

Para solucionar el problema y reducir el riesgo de ser víctima de un RCE, todos los usuarios de la base de datos H2 deberían actualizar a la versión 2.0.206, que limita las direcciones URL JNDI para utilizar únicamente el protocolo Java (local), según los investigadores de JFrog. Esto debe hacerse incluso si no están utilizando directamente la consola H2, añadieron. "Esto se debe a que existen otros vectores de ataque, y su explotabilidad puede ser difícil de determinar".

Si la actualización de H2 no es posible, las nuevas versiones de Java que contienen la mitigación trustURLCodebase pueden evitar que las bases de código remotas se carguen ingenuamente a través de JNDI. Sin embargo, esta mitigación no es a prueba de balas, y está activada por defecto en las siguientes versiones de Java o posteriores: 6u211, 7u201, 8u191 y 11.0.1.

Además, "cuando el servlet de la consola H2 se despliega en un servidor web (no utilizando el servidor web H2 independiente), se puede añadir una restricción de seguridad que permita sólo a determinados usuarios acceder a la página de la consola", se lee en la publicación de JFrog.