No hace aún un mes que escribí sobre la ya conocidísima vulnerabilidad de Log4Shell. Pues bien, ahora nos encontramos ante un nuevo RCE, en este caso en la base de datos Java SQL, bautizada como CVE-2021-42392. Si te interesa saber más sobre este nuevo problema, continúa leyendo.
H2:
Los investigadores de JFrog han sido los que han reportado este nuevo problema. H2 es una BBDD en Java SQL bastante popular y de código abierto, que no necesita que los datos se almacenen en disco.
Algunas plataformas como Spring Boot, Play Framework y JHipster y otras de IoT como ThingWorks la utilizan, por lo que podría ser de una alta criticidad.
Versiones afectadas:
Esta vulnerabilidad afecta a las versiones de H2 Console desde la v1.1.100 (de 2008) a la v2.0.204 (de diciembre de 2021) y permitiría la carga de clases desde el servidor de un atacante a través de JNDI, aunque a priori, H2 no acepta por defecto conexiones remotas.
Explotabilidad:
Según los investigadores de JFrog, la vulnerabilidad se explota de forma parecida a Log4Shell, JNDI podría permitir un RCE dando a un atacante control sobre los sistemas de una organización, aunque advierten que en un principio no debería estar tan extendido como Log4Shell.
Al contrario que ocurría con Log4Shell, este fallo tiene un alcance directo, y el servidor que procesa la solicitud sería el afectado por el RCE, lo que, según los investigadores, debería ser menos grave que Log4Shell.
Como mencionaba anteriormente, por defecto, la consola de H2 no escucha conexiones externas (solo las de local host), por lo que la configuración predeterminada, debería ser segura, no como en el caso de Log4Shell que ya era explotable la configuración por defecto. El problema viene dado por la facilidad que existe para cambiar ese parámetro para que también escuche conexiones de fuera.
Solución:
Esta vulnerabilidad ya cuenta con una versión que soluciona el problema (no como ocurría con Log4Shell que estuvo días sin parche) la v2.0.206 que limita las URL de JNDI y deniega cualquier tipo de consulta al LDAP de manera remota. Por lo tanto, ¡corre a parchear!
Fuente: https://thehackernews.com/2022/01/log4shell-like-critical-rce-flaw.html
0 comentarios:
Publicar un comentario