Alertas

Vulnerabilidad JNDI en la consola de la base de datos H2 (CVE-2021-42392)

Recientemente, el equipo de investigación de seguridad de JFrog ha revelado un problema en la consola de la base de datos H2 que ha recibido una CVE crítica (CVE-2021-42392). Este problema tiene la misma causa que la infame vulnerabilidad Log4Shell en Apache Log4j (carga de clases remotas JNDI) [1].
07 Jan 2022
1 Minutos de lectura

ANÁLISIS

Según JFrog, varias rutas de código en el marco de la base de datos H2 pasan sin ser filtradas en URLs controladas por el atacante a la función javax.naming.Context.lookup, que según ellos permite la carga remota de código. De todos los vectores de ataque del problema, el más grave es a través de la consola H2.

Aunque esta vulnerabilidad no está tan extendida como la de Log4Shell, aún puede tener un impacto importante en los desarrolladores y en los sistemas de producción si no se aborda en consecuencia.

Si está ejecutando una consola H2 que está expuesta a su LAN (o peor, WAN) este problema es extremadamente crítico (ejecución de código remoto no autenticado). Los administradores de red pueden escanear sus subredes locales en busca de instancias abiertas de la consola H2 con nmap. Es muy probable que cualquier servidor visible sea explotable.

Según los investigadores, la versión 2.0.206 de H2 es similar a la 2.17.0 de Log4j, ya que soluciona el problema limitando las URL de JNDI para que utilicen únicamente el protocolo java (local), lo que deniega cualquier consulta LDAP/RMI remota.

Es probable que haya menos de 100 servidores afectados en Internet, ya que la consola de la base de datos H2 debe exponerse a propósito a Internet cambiando la configuración para que no escuche únicamente en localhost. En una configuración por defecto, la vulnerabilidad sólo puede ser activada desde la misma máquina en la que se ejecuta la consola de base de datos, lo que significa que la explotación es extremadamente condicional [2]. 

 

RECOMENDACIONES

Se recomienda actualizar la base de datos H2 a la versión 2.0.206 inmediatamente.

 
REFERENCIAS
[1] Múltiples vulnerabilidades en Trendnet AC2600 TEW-827DRU | INCIBE-CERT 
[2] Trendnet AC2600 TEW-827DRU Multiple Vulnerabilities - Research Advisory | Tenable® 
56 visitas