Các nhà nghiên cứu cho biết đã phát hiện một lỗ hổng bảo mật mới, ảnh hưởng đến cơ sở dữ liệu H2, cho phép thực thi mã từ xa bằng cách lặp lại lỗ hổng Log4j "Log4Shell"
Lỗ hổng có định danh CVE-2021-42392, là "lỗ hổng nghiêm trọng được phát hiện có cùng một nguyên nhân ban đầu với lỗ hổng Log4Shell - liên quan đến class JNDI".
H2 là một hệ quản trị cơ sở dữ liệu mã nguồn mở dựa trên Java, được sử dụng như một thành phần trong các ứng dụng hoặc chạy ở chế độ máy khách-máy chủ. Theo thông tin từ Maven Repository, công cụ cơ sở dữ liệu H2 được sử dụng bởi 6.807 ứng dụng.
JNDI, viết tắt của “Java Naming and Directory Interface”, một API cung cấp chức năng đặt tên và thư mục cho các ứng dụng Java. API này có thể sử dụng kết hợp với LDAP để định vị một tài nguyên cụ thể.
Trong trường hợp của Log4Shell đã được phát hiện vào đầu tháng 12, JNDI cho phép tra cứu (lookup) theo thời gian thực tới các máy chủ, được khai thác để thực thi mã từ xa mà không cần xác thực và cài cắm mã độc vào máy chủ bằng cách tạo một JNDI lookup độc hại gửi đến bất kỳ ứng dụng Java nào sử dụng các phiên bản dễ bị tấn công của thư viện Log4j.
Menashe, giám đốc cấp cao của Jfrog, cho biết “tương tự lỗ hổng Log4Shell, kẻ tấn công cũng truyền vào các JNDI lookup độc hại dẫn đến thực thi mã từ xa không cần xác thực và cho phép hắn kiểm soát toàn bộ hoạt động của hệ thống bị tấn công".
"Cơ sở dữ liệu H2 được sử dụng bởi nhiều framework bên thứ ba, bao gồm Spring Boot, Play Framework và JHipster". "Mặc dù lỗ hổng này không phổ biến như Log4Shell, nhưng nó vẫn có thể có tác động đáng kể đến các nhà phát triển và hệ thống sản xuất nếu không được giải quyết phù hợp."
Lỗ hổng này ảnh hưởng đến cơ sở dữ liệu H2 phiên bản 1.1.100 đến 2.0.204 và đã được khắc phục trong phiên bản 2.0.206 được phát hành vào ngày 5 tháng 1 năm 2022.
Để giảm thiểu các nguy cơ bị khai thác tấn công, người dùng ứng dụng Java nên kiểm tra lại hệ thống của mình xem có bị ảnh hưởng bởi lỗ hổng hay không và cập nhật bản vá sớm nhất có thể.
Nguồn: thehackernews.com.
Tín nhiệm mạng | Cơ quan giám sát bảo vệ dữ liệu của Pháp đã phạt Facebook 150 triệu euro và Google 60 triệu euro vì vi phạm quy định về quyền riêng tư của châu Âu.
Tín nhiệm mạng | Các nhà nghiên cứu cho biết một kỹ thuật mới cho phép mã độc trên iOS có thể duy trì sự tồn tại trên một thiết bị bị nhiễm bằng cách giả mạo quá trình shutdown, khiến chúng ta không thể xác định được iPhone đang tắt hay không.
Tín nhiệm mạng | Tin tặc đã sử dụng một dịch vụ lưu trữ video cloud để chèn các đoạn mã độc cho phép lấy cắp thông tin được nhập vào các form trên trang web.
Tín nhiệm mạng | Các phần mềm độc hại giả mạo ứng dụng nhắn tin Telegram đang được sử dụng để phát tán backdoor Purple Fox lên các hệ thống Windows.
Tín nhiệm mạng | Bất kỳ ai thực hiện copy-paste các lệnh từ các trang web vào console hoặc terminal đều có nguy cơ bị xâm phạm hệ thống
Tín nhiệm mạng | Microsoft đã phát hành một bản vá khẩn cấp cho một lỗ hổng dẫn đến việc trì hoãn gửi email trên các máy chủ vật lý Microsoft Exchange được phát hiện khi vừa bắt đầu nă m 2022.
Chúng tôi sẽ sớm liên hệ với bạn để xác thực các thông tin & hoàn tất quá trình kiểm duyệt để cấp chứng nhận.
Cảm ơn bạn đã thực hiện đánh giá.
