Исследователи безопасности пришли к выводу, что уязвимость нулевого дня в PostgreSQL стала решающим фактором в хакерских атаках, нарушивших работу Казначейства США в декабре. Ведущий исследователь из Rapid7, Стивен Фьюер, отметил, что при исследовании уязвимости BeyondTrust CVE-2024-12356 сотрудники обнаружили новый zero-day PostgreSQL, идентифицированный как CVE-2025-1094.
Как была выявлена уязвимость
В ходе тестирования Rapid7 заключили, что успешная эксплуатация CVE-2024-12356 невозможна без использования CVE-2025-1094, обеспечивающей возможность выполнения удалённого кода. Изначально считалось, что атака на Казначейство США через BeyondTrust Remote Support SaaS использовала уязвимость командной инъекции CVE-2024-12356. Однако дальнейшее исследование показало: чтобы эффективно использовать эту уязвимость, необходимо её соединение с CVE-2025-1094.
Хотя BeyondTrust исправила CVE-2024-12356 в декабре 2024 года, создав патч, блокирующий обе уязвимости, источник проблемы CVE-2025-1094 так и остался непроработанным до тех пор, пока Rapid7 не обнаружила и не сообщила об этом в сообщество PostgreSQL.
Последствия атаки
В результате эксплойта китайские хакеры, как полагают, смогли удалённо получить доступ к нескольким рабочим станциям Казначейства США и просмотреть неклассифицированные документы. Пока не известно, какие именно документы были просмотрены или сколько рабочих станций пострадало. Эта атака является одной из нескольких, связанных с кибервидениями Китая, предоставляющими несанкционированный доступ к коммуникациям и данным.