„Rapid7“ pažeidžiamumo tyrimų komanda sako, kad užpuolikai išnaudojo „PostgresQL“ saugumo trūkumą kaip nulinę dieną, kad gruodžio mėn. Pažeistų privilegijuotos prieigos valdymo įmonės „Underrust“ tinklą.
„UnderTrust“ atskleidė, kad užpuolikai pažeidė savo sistemas ir 17 nuotolinių „SaaS“ pavyzdžių gruodžio pradžioje, naudodamiesi dviem nulinės dienos klaidomis (CVE-2024-12356 ir CVE-2024-12686) ir pavogtą API raktą.
Mažiau nei po mėnesio, sausio pradžioje, JAV iždo departamentas atskleidė, kad jo tinklą pažeidė grėsmės veikėjai, kurie panaudojo pavogtą nuotolinio palaikymo „SaaS API“ raktą, kad pakenktų jo „Beyond Asment“ pavyzdžiui.
Nuo to laiko iždo pažeidimas buvo susietas su Kinijos valstybės remiami įsilaužėliai, stebimi kaip „Silk Typhoon“-kibernetinės sąmokslo grupė, dalyvaujanti žvalgyboje ir duomenų vagys nulinės dienos.
Kinijos įsilaužėliai konkrečiai nukreipė į užsienio investicijų komitetą JAV (CFIUS), kuris apžvelgia užsienio investicijas dėl nacionalinio saugumo rizikos, ir užsienio turto kontrolės tarnybą (OFAC), kuri administruoja prekybos ir ekonominių sankcijų programas.
Jie taip pat įsilaužė į Iždo finansų tyrimų sistemų biurą, tačiau šio įvykio poveikis vis dar įvertinamas.
Manoma, kad šilko taifūnas pasinaudojo savo galimybe naudotis iždo „Underrust“ pavyzdžiu, kad pavogtų „neklasifikuotą informaciją, susijusią su potencialiais sankcijų veiksmais ir kitais dokumentais“.
Gruodžio 19 d. CISA pridėjo CVE-2024-12356 pažeidžiamumą savo žinomam išnaudojimo pažeidžiamumų katalogui, įpareigodamas JAV federalinės agentūros užsitikrinti savo tinklus nuo vykstančių išpuolių per savaitę. Kibernetinio saugumo agentūra taip pat įsakė federalinėms agentūroms pataisyti savo sistemas prieš CVE-2024-12686 sausio 13 d.
„PostgreSQL“ nulinė diena, susieta su „BeedTrust“ pažeidimu
Analizuodamas CVE-2024-12356, „Rapid7“ komanda atskleidė naują nulinės dienos pažeidžiamumą „Postgresql“ (CVE-2025-1094), apie kurį pranešta sausio 27 d. Ir pataisyta ketvirtadienį. CVE-2025-1094 leidžia SQL injekcijas, kai „PostgreSQL“ interaktyvus įrankis nuskaito nepatikimą įvestį, nes neteisingai apdoroja specifines negaliojančias baitų baitų sekas iš netinkamų UTF-8 simbolių.
„Netinkamas citatos sintaksės neutralizavimas„ PostgreSQL LIBPQ “funkcijose„ PQEScapeLiteral () “,„ PQEScapeIdentifier “(), PQESCAPESTring () ir PQESCAPESTRINGCONN () leidžia duomenų bazės įvesties teikėjui pasiekti SQL injekciją tam tikrais naudojimo modeliais“, – paaiškina „Postgresql Security“ komanda.
„Konkrečiai, SQL injekcijai reikalaujama yra „Big5“ ir „Server_encoding“ yra vienas iš EUC_TW arba MULE_INTERNAL. „
„Rapid7“ testai parodė, kad norint sėkmingai išnaudoti CVE-2024-12356, norint pasiekti nuotolinio kodo vykdymą, reikia naudoti CVE-2025-1094, o tai rodo, kad išnaudojimas, susijęs su „BeedTrust RS CVE-2024-12356“, rėmėsi „PostgreSQL CVE-2025-1094“ išnaudojimu.
Be to, nors „UnderTrust“ teigė, kad CVE-2024-12356 yra komandų įpurškimo pažeidžiamumas (CWE-77), „Rapid7“ teigia, kad jis tiksliau būtų klasifikuojamas kaip argumentų injekcijos pažeidžiamumas (CWE-88).
„Rapid7“ saugumo tyrėjai taip pat nustatė metodą, kaip išnaudoti CVE-2025-1094 nuotolinio kodo vykdymui pažeidžiamame „Beerfon“ nuotolinio palaikymo (RS) sistemose, nepriklausomai nuo CVE-2024-12356 argumentų injekcijos pažeidžiamumo.
Dar svarbiau, kad jie nustatė, kad nors „Undertrust“ pataisa CVE-2024-12356 nenagrinėja pagrindinės CVE-2025-1094 priežasčių, jis sėkmingai užkerta kelią abiejų pažeidžiamumų išnaudojimui.
„Mes taip pat sužinojome, kad CVE-2025-1094 įmanoma išnaudoti nuotolinį palaikymą„ BeyondTrust “, nereikia panaudoti CVE-2024-12356“,-teigė „Rapid7“. „Tačiau dėl tam tikrų papildomų įvesties sanitarijos, kurias naudoja CVE-2024-12356 pleistras, išnaudojimas vis tiek žlugs.”
