พบช่องโหว่ RCE คล้าย Log4Shell โจมตี Log4j ในคอนโซลของฐานข้อมูล H2

นักวิจัยด้านความปลอดภัยพบช่องโหว่ RCE โจมตี Log4j ที่ส่งผลต่อคอนโซลของฐานข้อมูล H2 โจมตีการเรียกใช้โค้ดจากระยะไกล (RCE) ผู้โจมตีจะควบคุม URL ที่อนุญาตให้มีการเรียกใช้โค้ดจากระยะไกล และความคุมการทำงานคนอื่นได้

นักวิจัยได้เปิดเผยข้อบกพร่องด้านความปลอดภัยที่ส่งผลต่อคอนโซลของฐานข้อมูล H2 ที่อาจทำให้เกิดการเรียกใช้โค้ดจากระยะไกล (RCE) ในลักษณะเดียวกันกับช่องโหว่ CVE-2021-42392 หรือ Log4Shell ที่ปรากฏขึ้นเมื่อเดือนที่แล้ว

ข้อบกพร่องนี้มีสาเหตุเดียวกันกับช่องโหว่ Log4Shell ที่ถูกทำการแก้ไขในคอนโซลของฐานข้อมูลที่กำลังเป็นที่นิยมอย่างฐานข้อมูล Java SQL และฐานข้อมูล H2 โดยช่องโหว่นี้จะไม่อนุญาตให้ผู้โจมตีทำการเรียกใช้โค้ดจากระยะไกลได้ และมีการกำหนดระดับสิทธิ์การเข้าถึงผ่าน Java Naming and Directory Interface (JNDI) ตามคำแนะนำด้านความปลอดภัยของ GitHub ที่เผยแพร่โดยผู้ควบคุมดูแลฐานข้อมูล H2 เมื่อวันที่ 5 มกราคมที่ผ่านมา

ข้อมูลของ H2 และ JNDI

H2 เป็นระบบจัดการฐานข้อมูลเชิงสัมพันธ์แบบ Open-source ที่เขียนด้วยภาษาจาวา ซึ่งสามารถนำไปฝังภายในแอปพลิเคชันหรือเรียกใช้ในโหมดไคลเอนต์-เซิร์ฟเวอร์ โดยระบบจัดการฐานข้อมูล H2 ถูกใช้โดยสิ่งประดิษฐ์ 6,807 รายการซึ่งเป็นที่นิยมมากบน Maven Repository

ในส่วนของ JNDI จะเป็น API ที่มีฟังก์ชันการตั้งชื่อและสร้าง Directory สำหรับแอปพลิเคชัน Java ซึ่งสามารถใช้ API ร่วมกับโปรโตคอล LDAP ที่ใช้สำหรับค้นหาข้อมูลในฐานข้อมูล เพื่อค้นหาทรัพยากรเฉพาะที่อาจจำเป็นต้องใช้ได้

H2 และ JNDI

ที่มา: https://thehackernews.com/2022/01/log4shell-like-critical-rce-flaw.html

กรณีของ Log4Shell จะมีคุณลักษณะที่ทำให้สามารถค้นหารันไทม์ไปยังเซิร์ฟเวอร์ทั้งภายในและภายนอกเครือข่ายได้ ซึ่งในทางกลับกันแล้วยังสามารถใช้เป็นอาวุธเพื่ออนุญาตการเรียกใช้โค้ดจากระยะไกลโดยไม่ได้รับอนุญาต รวมถึงมีการฝังมัลแวร์บนเซิร์ฟเวอร์ผ่านการสร้าง JNDI lookup ที่เป็นอันตรายเข้ามาเป็นอินพุตให้กับแอปพลิเคชันของ Java ใด ๆ ที่ใช้ไลบรารี Log4j เวอร์ชันที่ยังมีช่องโหว่อยู่

แต่ในกรณีของช่องโหว่ที่พบใหม่นี้ ผู้โจมตีจะควบคุม URL ที่อนุญาตให้มีการเรียกใช้โค้ดจากระยะไกลโดยไม่ได้รับอนุญาตซึ่งเผยแพร่ในการค้นหา JNDI ทำให้ผู้โจมตีสามารถควบคุมการทำงานของบุคคลอื่นหรือระบบขององค์กรอื่นได้

วิธีการแก้ไขช่องโหว่

ช่องโหว่นี้ส่งผลกระทบต่อฐานข้อมูล H2 เวอร์ชัน 1.1.100 ถึง 2.0.204 และแก้ไขในเวอร์ชัน 2.0.206 ที่เผยแพร่เมื่อวันที่ 5 มกราคม พ.ศ. 2565 โดยจะคล้ายกับการแก้ไข Log4j คือมีการอัพเดทแพตช์ที่จำกัดการค้นหา URL ผ่าน JNDI และอนุญาตให้ใช้เฉพาะโปรโตคอล Java ในเครื่องเท่านั้น ดังนั้นจึงสามารถบล็อกการสืบค้น LDAP/RMI จากระยะไกลได้

ฐานข้อมูล H2 ถูกใช้โดยเฟรมเวิร์กของบุคคลที่สามจำนวนมาก รวมถึง Spring Boot, Play Framework และ Jhipster ถึงแม้ว่าช่องโหว่นี้จะไม่แพร่หลายเท่า Log4Shell แต่ก็ยังสามารถส่งผลกระทบอย่างมากต่อนักพัฒนาและระบบการผลิตหากไม่ได้รับการแก้ไขหรืออัพเดทแพตช์เวอร์ชันล่าสุด

เอกสารอ้างอิง

หากคุณมีความกังวลว่า Web Application ของคุณจะถูกโจมตีสามารถแสกนหาช่องโหว่ไลบรารี Log4j ได้ในราคาพิเศษ อ่านรายละเอียดเพิ่มเติม

สอบถามรายละเอียดเพิ่มเติมด้านโซลูชันและบริการ ติดต่อฝ่ายขาย INETMS ได้ที่
◾️ อีเมล: sales@inetms.co.th
▫️ 061 387 9186 (คุณณัฐริกา)
▫️ 065 512 4649 (คุณณัฐพร)
▫️ 063 204 4534 (คุณอสมาภรณ์)
▫️ 061 404 5895 (คุณธัญกาญจน์)