Log4Shell, non è ancora finita? Scoperta una falla simile sul tool per database H2

Log4Shell, non è ancora finita? Scoperta una falla simile sul tool per database H2
di

La falla Log4Shell di Log4j è stata risolta solo pochi giorni fa, ma a quanto pare una nuova vulnerabilità interesserebbe milioni di server sparsi in tutto il mondo: si tratta, in questo caso, di un problema di sicurezza relativo alle console per database H2, anch'esse ampiamente usate nei server, al pari del tool di logging Log4j.

La vulnerabilità, nota come CVE-2021-42392, è quasi del tutto identica a Log4Shell, poiché permette anch'essa di caricare ed eseguire codice maligno su server e database, seguendo lo stesso procedimento utilizzato dagli hacker per Log4j. Secondo il ricercatore di JFrog Andrey Polkovnychencko, "il problema è la prima vulnerabilità critica pubblica da Log4Shell e in un componente diverso da Log4j, che opera un exploit della stessa causa alla radice di Log4Shell".

Il programma colpito, H2, è un sistema di gestione di database open-source basato su Java, il che lo rende molto popolare ed utilizzato per database e server di ogni tipo, anche perché esso può essere embeddato in applicazioni terze o funzionare in modalità client-server. Secondo Maven Repository, al momento H2 viene utilizzato su 6.807 tool e programmi terzi, che potrebbero essere installati su milioni di database in tutto il mondo.

Secondo Polkovnychencko, sia la falla di H2 che quella di Log4j dipendono dal "remote class loading di JNDI": JNDI è la Java Naming Directory Interface, un'API molto usata che garantisce funzioni di naming e directory per le applicazioni in Java. Sarebbe proprio un problema di questa API a trovarsi alla base delle falle di sicurezza dei due tool per server e database.

Un altro ricercatore di JFrog ha poi spiegato che "In modo simile alla vulnerabilità di Log4Shell di inizio dicembre, degli URL controllati da degli hacker possono propagarsi nei lookup di JNDI e abilitare l'esecuzione di codice remote non autenticato, dando a chi effettua gli attacchi il totale controllo sulle operazioni dei sistemi di un'altra persona o di un'altra organizzazione".

Fortunatamente, la falla di H2 è stata risolta prima di raggiungere livelli di gravità pari a quelli di Log4Shell: la vulnerabilità è stata infatti risolta con la versione 2.0.206 di H2, pubblicata il 5 gennaio 2022.

Quanto è interessante?
1