Faille de sécurité : après Log4Shell, une vulnérabilité critique encore découverte
Récemment, des spécialistes de la sécurité informatique de JFrog ont découvert une faille de sécurité présente dans le programme open source du système de gestion de base de données relationnelles « H2 ».
Selon ces professionnels, cette vulnérabilité sur est similaire à la faille Log4Shell.
Pour ce qu’il en est de la vulnérabilité, un correctif de sécurité serait déjà disponible si les utilisateurs basculent vers la version 2.0. 206. Il est donc recommandé à l’ensemble des utilisateurs de ce programme informatique de déployer la mise à jour le plus tôt possible.
Cet article va aussi vous intéresser : Log4J : la super faille de sécurité d’Internet serait utilisée dans une compagne d’espionnage
Ces derniers temps, les failles de sécurité sont découvertes couramment. Encore une fois, c’est dans une bibliothèque open source que la vulnérabilité est présente.
Le SGBD open source H2 est dans une situation où il pourrait être la cible des hackers. Grâce à la vulnérabilité qui est découverte depuis le début de cette semaine, il sera possible grâce à l’exécution de code malveillant à distance, de prendre d’assaut les plateformes et les systèmes informatiques impliqués directement dans le déploiement de ce logiciel open source.
SGBD open source H2 est un programme Open Source qui est utilisé le plus couramment pour les applications Java. Le plus souvent il est présent dans les plateformes l’Internet des objets ou encore des espaces web tel que Spring Noot et ThingWorks. Il est populaire grâce à son empreinte mémoire particulièrement faible.
La faille de sécurité qui a été dénommé CVE-2021-42392 à été révélé par des chercheurs en cybersécurité de chez JFrog dans le courant de la semaine dernière. Précisément le 6 janvier 2022 dans un billet de blog. La vulnérabilité semble avoir certaines similarités avec la faille de sécurité découverte dans une autre bibliothèque combien de célèbre Log4j.
« La vulnérabilité ouvre plusieurs chemins d’accès pour injecter à distance du code malveillant dans le Framework de base de données H2 en utilisant des URL non filtrées », note JFrog.
Selon les chercheurs, le risque majeur est que ce vecteur d’attaque soit exploité et présente dans la console de gestion H2. De ce fait, à cause de la disponibilité du correctif de sécurité et recommande vivement une mise à jour expresse et sans délai. « Si vous exécutez une console H2 exposée à votre LAN (ou pire au WAN), ce problème est extrêmement critique (exécution de code à distance non authentifié) et vous devez immédiatement mettre à jour votre base de données H2 vers la version 2.0.206 », note JFrog.
Il est à prévoir d’autres exploits issu de la même faille de sécurité.
« Bien que cette vulnérabilité utilise également le chargement de classe JNDI à distance, elle nécessite un accès qui n’est pas disponible avec la configuration par défaut de la base de données H2 », a souligné Matthew Warner, co-fondateur et directeur de la technologie de Blumira, la société de détection et de réponse automatisées aux menaces Blumira.
« Log4j était unique en ce sens qu’un nombre quelconque de chaînes manipulées par des attaques, des en-têtes aux chemins d’URL, pouvait entraîner l’exploitation de la victime en fonction de la configuration de l’application pour utiliser la journalisation avec Log4j. Dans ce cas, la console de base de données H2 doit être délibérément exposée à Internet en modifiant la configuration et ne pas seulement en sniffant le localhost. », ajoute ce dernier.
Selon plusieurs spécialistes, il faut s’attendre à ce que les failles de sécurité similaire à Log4Shell apparaissent de plus en plus. « Le module de chargement de classe à distance JNDI (Java Naming and Directory Interface) se retrouve en effet dans de très nombreux programmes Java et Framework ce qui accroit potentiellement le risque d’exploit. « À notre connaissance, la CVE-2021-42392 est la première vulnérabilité RCE non authentifiée liée à JNDI à être publiée depuis Log4Shell, mais nous pensons que ce ne sera pas la dernière », note JFrog.
Accédez maintenant à un nombre illimité de mot de passe :