Команда по исследованию уязвимостей Rapid7 утверждает, что злоумышленники использовали дефект безопасности PostgreSQL «нулевого дня» для взлома сети компании BeyondTrust в декабре, занимающейся управлением привилегированным доступом.
Компания BeyondTrust обнаружила, что в начале декабря злоумышленники проникли в ее системы и 17 экземпляров SaaS-системы удаленной поддержки, используя две ошибки нулевого дня (CVE-2024-12356 и CVE-2024-12686) и украденный ключ API.
Менее чем через месяц, в начале января, Министерство финансов США сообщило, что его сеть была взломана злоумышленниками, которые использовали украденный API-ключ Remote Support SaaS для компрометации экземпляра BeyondTrust.
С тех пор взлом Казначейства связывают с китайскими хакерами, которых отслеживают как Silk Typhoon – группу кибершпионажа, занимающуюся разведкой и кражей данных, которая стала широко известна после взлома примерно 68 500 серверов в начале 2021 года с помощью нулевых дней Microsoft Exchange Server ProxyLogon.
Китайские хакеры специально атаковали Комитет по иностранным инвестициям в США (CFIUS), который проверяет иностранные инвестиции на предмет рисков для национальной безопасности, и Управление по контролю за иностранными активами (OFAC), которое управляет программами торговых и экономических санкций.
Они также взломали системы Управления финансовых исследований Казначейства, но последствия этого инцидента еще оцениваются.
Предполагается, что Silk Typhoon использовали свой доступ к инстанциям BeyondTrust Казначейства для кражи «несекретной информации, касающейся потенциальных санкций, и других документов».
19 декабря CISA добавила уязвимость CVE-2024-12356 в свой каталог известных эксплуатируемых уязвимостей, обязав федеральные агентства США в течение недели защитить свои сети от продолжающихся атак. Агентство по кибербезопасности также приказало федеральным агентствам 13 января установить в свои системы заплатки против CVE-2024-12686.
Нулевой день в PostgreSQL связан со взломом системы BeyondTrust
Анализируя CVE-2024-12356, команда Rapid7 обнаружила новую уязвимость нулевого дня в PostgreSQL, о которой было сообщено 27 января и которая была исправлена в четверг. CVE-2025-1094 позволяет осуществлять SQL-инъекции, когда интерактивный инструмент PostgreSQL читает недоверенный ввод, поскольку он некорректно обрабатывает определенные недопустимые последовательности байтов из недопустимых символов UTF-8.
«Неправильная нейтрализация синтаксиса кавычек в функциях PostgreSQL
libpq PQescapeLiteral(),PQescapeIdentifier(),PQescapeString()иPQescapeStringConn()позволяет провайдеру ввода данных осуществить SQL-инъекцию при определенных схемах использования»
- поясняет команда безопасности PostgreSQL
«В частности, для SQL-инъекции необходимо, чтобы приложение использовало результат функции для формирования входных данных для psql, интерактивного терминала PostgreSQL. Аналогичным образом, неправильная нейтрализация синтаксиса кавычек в утилитах командной строки PostgreSQL позволяет источнику аргументов командной строки осуществить SQL-инъекцию, когда кодировка клиента является BIG5, а кодировка сервера_ является одной из EUC_TW или MULE_INTERNAL.»
Тесты Rapid7 показали, что успешная эксплуатация CVE-2024-12356 для удаленного выполнения кода требует использования CVE-2025-1094, что позволяет предположить, что эксплойт, связанный с BeyondTrust RS CVE-2024-12356, опирался на эксплуатацию PostgreSQL CVE-2025-1094.
Кроме того, хотя BeyondTrust заявила, что CVE-2024-12356 является уязвимостью инъекции команд (CWE-77), Rapid7 утверждает, что ее правильнее было бы классифицировать как уязвимость инъекции аргументов (CWE-88).
Исследователи безопасности Rapid7 также выявили метод эксплуатации CVE-2025-1094 для удаленного выполнения кода в уязвимых системах удаленной поддержки (RS) BeyondTrust независимо от уязвимости CVE-2024-12356, связанной с инъекцией аргументов.
Более того, они обнаружили, что хотя патч BeyondTrust для CVE-2024-12356 не устраняет первопричину CVE-2025-1094, он успешно предотвращает эксплуатацию обеих уязвимостей.
«Мы также узнали, что в BeyondTrust Remote Support можно эксплуатировать CVE-2025-1094 без необходимости использовать CVE-2024-12356. Однако из-за дополнительной санации ввода, которую использует патч для CVE-2024-12356, эксплуатация все равно не удастся»
- заявили в Rapid7
Комментарии (0)