Исслeдoватели прeдупрeждaют о нoвoй уязвимoсти Jаvа, пoхoжeй нa Log4Shell

Статьи / Безопасность

Публикуйте объявления, заметки и многое другое. Доска объявлений Купи Продай отличный способ держать вашу занятую команду в нужном русле.

Исследователи безопасности предупреждают о новой критической ошибке Java с той же основной причиной, что и печально известная уязвимость Log4Shell, которая в настоящее время эксплуатируется по всему миру.

CVE-2021-42392 еще официально не опубликована в Национальной базе данных уязвимостей (NVD), но, по словам JFrog, она влияет на консоль популярной базы данных H2 Java SQL.

Фирма по безопасности призвала любую организацию, которая в настоящее время использует консоль H2, доступную к их локальной или глобальной сети, немедленно обновить базу данных до версии 2.0.206, иначе злоумышленники могут использовать ее для удаленного выполнения кода без проверки подлинности (RCE).

Как и в Log4Shell, ошибка связана с JNDI (Java Naming and Directory Interface) «удаленная загрузка классов». JNDI — это API, который предоставляет функции именования и каталогов для приложений Java. Это означает, что если злоумышленник сможет получить вредоносный URL-адрес для поиска JNDI, он может включить RCE.

«Короче говоря, основная причина аналогична Log4Shell — несколько путей кода в структуре базы данных H2 передают нефильтрованные URL-адреса, контролируемые злоумышленниками, в функцию javax.naming.Context.lookup, которая позволяет удаленно загружать кодовую базу (также известная как внедрение кода Java, известная как инъекция кода Java). удаленное выполнение кода)», — объяснил JFrog.

«В частности, метод org.h2.util.JdbcUtils.getConnection принимает в качестве параметров имя класса драйвера и URL-адрес базы данных. Если класс драйвера присваивается классу javax.naming.Context, метод создает экземпляр объекта из него и вызывает его метод поиска».

Он добавил, что предоставление класса драйвера, такого как «javax.naming.InitialContext», и простого URL-адреса, такого как ldap://attacker.com/Exploit, приведет к удаленному выполнению кода.

JFrog заявил, что уязвимость особенно опасна, поскольку пакет базы данных H2 особенно популярен. По заявлению фирмы, это один из 50 самых популярных пакетов Maven с почти 7000 зависимостями артефактов.

Однако есть несколько причин, по которым эксплуатация не будет столь распространена, как Log4Shell. Во-первых, он имеет «прямой масштаб воздействия», что означает, что уязвимые серверы должно быть легче найти.

Во-вторых, в большинстве дистрибутивов H2 консоль прослушивает только соединения с локальным хостом, что означает, что настройка по умолчанию не может быть использована.

«Многие поставщики могут использовать базу данных H2, но не использовать консоль H2», — добавил JFrog. «Хотя есть и другие способы использования этой проблемы помимо консоли, эти другие векторы зависят от контекста и с меньшей вероятностью могут быть подвержены удаленным злоумышленникам».