Pesquisadores de segurança alertam sobre um novo bug crítico no Java com a mesma causa raiz da vulnerabilidade Log4Shell e que está sendo explorado atualmente em todo o mundo. Classificada como CVE-2021-42392, a falha ainda não foi publicada oficialmente no National Vulnerability Database (NVD), mas, de acordo com a empresa de segurança JFrog, a vulnerabilidade impacta o console do popular banco de dados H2 Java SQL.
A empresa orienta as organizações que estiveram executando um console H2 exposto à sua rede local (LAN) ou de longa distância (WAN) para atualizar o banco de dados imediatamente para a versão 2.0.206 ou arriscará que os invasores o explorem para execução remota de código não autenticado (RCE).
Como o Log4Shell, o bug está relacionado ao “carregamento de classe remota” JNDI (Java Naming and Directory Interface). A JNDI é uma API que fornece funcionalidade de nomenclatura e diretório para aplicativos Java. Isso significa que se um invasor puder obter uma URL maliciosa em uma pesquisa JNDI, ele poderá habilitar o RCE.
Veja isso
Milhões de varreduras por dia buscando Log4J-2 vulnerável
Hackers varrem 40% das redes em busca de Log4J
“Em poucas palavras, a causa raiz é semelhante ao Log4Shell: vários caminhos de código na estrutura de banco de dados H2 passam URLs não filtrados controlados pelo invasor para a função javax.naming.Context.lookup, que permite o carregamento remoto da base de código (AKA injeção de código Java AKA execução remota de código)”, explica a JFrog.
Segundo a empresa, aspecificamente o método org.h2.util.JdbcUtils.getConnection usa um nome de classe de driver e um URL de banco de dados como parâmetros. Se a classe do driver pode ser atribuída à classe javax.naming.Context, o método instancia um objeto a partir dela e chama seu método de pesquisa.
A JFrog ressalta que a vulnerabilidade é particularmente perigosa, pois o pacote de banco de dados H2 é particularmente popular. É um dos 50 pacotes Maven mais populares, com quase 7 mil dependências de artefatos. Com agências de notícias internacionais.