Aggiornamento 1/11 – Sezione “Qual è lo stato della copertura” aggiornataFortiGuard Labs è a conoscenza della vulnerabilità scoperta di recente nel software H2 Database. La vulnerabilità è un’esecuzione di codice in modalità remota non autenticata nella console del database H2 e, simile a Log4j, è basata su JNDI e ha un vettore di exploit simile ad esso. Questa vulnerabilità è stata assegnata CVE-2021-42392 ed è stata rilevata dai ricercatori di sicurezza di JFrog. Cos’è H2 Database H2 è un sistema di gestione di database relazionali scritto in Java ed è open source. Può essere incorporato in applicazioni Java o essere eseguito in modalità client-server e non è necessario archiviare i dati su disco. Quali sono i dettagli tecnici? In poche parole, il vettore è simile a Log4Shell, in cui diversi percorsi di codice nel framework del database H2 passano URL non filtrati controllati dall’attaccante alla funzione javax.naming.Context.lookup, che consente il caricamento remoto della codebase (remoto esecuzione del codice). Il database H2 contiene una console basata sul Web che ascolta le connessioni su http://localhost:8082. La console conterrà parametri passati da JdbcUtils.getConnection e un URL dannoso controllato dall’attaccante. Questa vulnerabilità interessa i sistemi con la console H2 installata. La vulnerabilità non interessa le macchine con database H2 installato in modalità standalone. La vulnerabilità (per impostazione predefinita) cerca connessioni da localhost o una connessione non remota. Tuttavia, questa vulnerabilità può essere modificata per rimanere in ascolto di connessioni remote, consentendo quindi la suscettibilità agli attacchi di esecuzione di codice in modalità remota. Quanto è grave questo? È simile a Log4j?Secondo il rapporto, si ritiene che questo non sia grave come Log4j, a causa di diversi fattori. Il primo fattore richiede che la console H2 sia presente sul sistema poiché sia la console che il database sono in grado di operare indipendentemente l’uno dall’altro. In secondo luogo, la configurazione predefinita di accettazione delle connessioni da localhost deve essere modificata per ascoltare le connessioni esterne, il che significa che le installazioni predefinite sono sicure per cominciare. Qual è il punteggio CVSS?Al momento i dettagli non sono disponibili. Passaggi di mitigazione disponibili FortiGuard Labs consiglia agli utenti del software di database H2 di eseguire immediatamente l’aggiornamento alla versione 2.0.206. Se ciò non è possibile, si consiglia di posizionare un’istanza vulnerabile dietro un firewall o rimuovere l’accesso dalla rete Internet pubblica. Per ulteriori dettagli sulla mitigazione, fare riferimento al blog JFrog “The JNDI Strikes Back – Unauthenticated RCE in H2 Database Console” che si trova nell’APPENDICE. Stato di copertura I clienti che eseguono le ultime definizioni IPS (19.237) sono protetti contro lo sfruttamento di CVE-2021-42392 con la seguente firma: H2.Database.Console.JNDI.Remote.Code.Execution
