В декабре 2024 года была выявлена серьезная уязвимость в системе управления базами данных PostgreSQL, которая использовалась как нулевой день для компрометации систем компании BeyondTrust. Атака была осуществлена с использованием нескольких уязвимостей, включая CVE-2024-12356 и CVE-2025-1094, SQL-инъекцию в PostgreSQL, в сочетании с украденным API ключом. За инцидентом подозревают китайскую хакерскую группу Silk Typhoon.
Расследование и технические подробности
BeyondTrust сообщила о несанкционированном доступе злоумышленников к их системам и 17 экземплярам SaaS удаленной поддержки в начале декабря 2024 года. Министерство финансов США подтвердило, что сеть была нарушена через украденный API ключ SaaS удаленной поддержки BeyondTrust. Целями атаки стали офисы, занимающиеся иностранными инвестициями, управлением санкциями и финансовыми исследованиями, с вероятным выводом чувствительной неклассифицированной информации.
Исследователи из Rapid7, изучая уязвимость CVE-2024-12356, идентифицировали CVE-2025-1094, SQL-инъекцию в интерактивных инструментах PostgreSQL, вызванную неправильной обработкой недопустимых последовательностей UTF-8. Ввод злонамеренных данных мог позволить выполнение произвольных SQL-команд через функции экранирования libpq. Эксплуатация CVE-2024-12356 для выполнения удаленного кода зависела от использования CVE-2025-1094, создавая цепочку эксплуатационных последовательностей. Также было продемонстрировано, что CVE-2025-1094 может быть использована независимо для выполнения удаленного кода на уязвимых системах удаленной поддержки BeyondTrust.
Ответ и последствия
BeyondTrust выпустил патчи, включающие очистку входных данных для CVE-2024-12356, что косвенно предохраняло от эксплуатации через уязвимость CVE-2025-1094 в системах BeyondTrust, хотя она не исправляла основную причину в PostgreSQL. Этот инцидент подчеркивает риски цепочки поставок, растущую угрозу нулевого дня и необходимость проактивного управления уязвимостями. Рекомендуемые меры включают своевременное применение патчей, строгую проверку входных данных, использование веб-аппликационных фаерволов и постоянный мониторинг.