14.01.2022 | Geschäftsbereich Energie

Am 6. Januar 2022 berichteten Sicherheitsforscher in einem Blog von JFrog (JNDI-Related Vulnerability Discovered in H2 Database Console | JFrog) über eine Sicherheitslücke in der H2-Datenbank des Programmteils H2-Konsole. Am 10. Januar 2022 wurde die dazugehörige CVE-2021-42392 veröffentlicht, dessen CVS-Score zum aktuellen Zeitpunkt (2022-01-12) noch nicht berechnet wurde. Aufgrund der Nähe zu der bekannten Sicherheitslücke Log4Shell ist von einer kritischen Einstufung auszugehen, da ohne Authentifizierung fremder Code mit den Rechten des Dienstes zur Ausführung gebracht werden kann. Dies ermöglicht ein weiteres Nachladen von Schadcode zur Ausbreitung von Viren.

Die H2-Datenbank wurde durch das KISTERS EnergyPortal genutzt. Vor Version 3.1.0 der Infrastruktur wurde die H2-Konsole beim Programmstart automatisch gestartet und ermöglichte Zugriff über die REST-API https://servername/h2-console auf den betroffenen Programmteil. Sofern ein Zugriff auf die REST-API erfolgen kann, ist das System gefährdet und ermöglicht die Ausnutzung der Sicherheitslücke.

 Als Gegenmaßnahme besteht die Möglichkeit im ReverseProxy Nginx den Pfad /h2-console zu unterbinden oder alternativ die Konfiguration des Dienstes anzupassen, so dass das Programmteil nicht gestartet wird. Sollte eine Web-Application-Firewall vor der Applikation genutzt werden, wäre hier entsprechend eine Regel als Zugriffsbeschränkung zu hinterlegen.

KISTERS empfiehlt dringend das Update auf die Version 3.1 (2021-09) der Infrastruktur durchzuführen oder die obigen Gegenmaßnahmen umzusetzen.
Installationen in der KISTERScloud wurden bereits geschützt.
Bitte kontaktieren Sie bei Fragen Ihren Ansprechpartner von KISTERS.