Vulnerabilidad JNDI en la consola de la base de datos H2 (CVE-2021-42392)
ANÁLISIS
Según JFrog, varias rutas de código en el marco de la base de datos H2 pasan sin ser filtradas en URLs controladas por el atacante a la función javax.naming.Context.lookup, que según ellos permite la carga remota de código. De todos los vectores de ataque del problema, el más grave es a través de la consola H2.
Aunque esta vulnerabilidad no está tan extendida como la de Log4Shell, aún puede tener un impacto importante en los desarrolladores y en los sistemas de producción si no se aborda en consecuencia.
Si está ejecutando una consola H2 que está expuesta a su LAN (o peor, WAN) este problema es extremadamente crítico (ejecución de código remoto no autenticado). Los administradores de red pueden escanear sus subredes locales en busca de instancias abiertas de la consola H2 con nmap. Es muy probable que cualquier servidor visible sea explotable.
Según los investigadores, la versión 2.0.206 de H2 es similar a la 2.17.0 de Log4j, ya que soluciona el problema limitando las URL de JNDI para que utilicen únicamente el protocolo java (local), lo que deniega cualquier consulta LDAP/RMI remota.
Es probable que haya menos de 100 servidores afectados en Internet, ya que la consola de la base de datos H2 debe exponerse a propósito a Internet cambiando la configuración para que no escuche únicamente en localhost. En una configuración por defecto, la vulnerabilidad sólo puede ser activada desde la misma máquina en la que se ejecuta la consola de base de datos, lo que significa que la explotación es extremadamente condicional [2].
RECOMENDACIONES
Se recomienda actualizar la base de datos H2 a la versión 2.0.206 inmediatamente.