Rapid7 的漏洞研究团队表示,攻击者在 12 月份利用 PostgreSQL 的安全漏洞作为零日漏洞,攻破了特权访问管理公司 BeyondTrust 的网络。
BeyondTrust 透露,攻击者在 12 月初利用两个零日漏洞(CVE-2024-12356 和 CVE-2024-12686)以及一个被盗的 API 密钥,攻破了其系统和 17 个远程支持 SaaS 实例。
不到一个月后,1 月初,美国财政部披露其网络被威胁行为者攻破,这些行为者利用被盗的远程支持 SaaS API 密钥,攻破了其 BeyondTrust 实例。
此后,财政部的被攻破事件被追溯到黑客组织 Silk Typhoon,该组织是一个网络间谍组织,以侦察和数据窃取攻击而闻名,2021 年初因利用 Microsoft Exchange Server ProxyLogon 零日漏洞攻击约 68,500 台服务器而广为人知。
黑客特别攻击了美国外国投资委员会(CFIUS),该委员会审查外国投资的国家安全风险,以及外国资产控制办公室(OFAC),该办公室管理贸易和经济制裁计划。
他们还入侵了财政部金融研究办公室的系统,但此次事件的影响仍在评估中。
据信,Silk Typhoon 利用了对财政部 BeyondTrust 实例的访问权限,窃取了“与潜在制裁行动和其他文件有关的非机密信息”。
12 月 19 日,CISA 将 CVE-2024-12356 漏洞添加到其已知被利用漏洞目录中,要求美国联邦机构在一周内保护其网络免受持续攻击。该网络安全机构还于 1 月 13 日下令联邦机构修补其系统以防范 CVE-2024-12686 漏洞。
PostgreSQL 零日漏洞与 BeyondTrust 被攻破事件有关
在分析 CVE-2024-12356 时,Rapid7 团队发现 PostgreSQL 中一个新的零日漏洞(CVE-2025-1094),该漏洞于 1 月 27 日报告,并在周四修补。CVE-2025-1094 允许在 PostgreSQL 交互工具读取不受信任的输入时进行 SQL 注入,因为它错误地处理了无效 UTF-8 字符的特定无效字节序列。
“PostgreSQL libpq 函数 PQescapeLiteral()、PQescapeIdentifier()、PQescapeString() 和 PQescapeStringConn() 中的引用语法中和不当处理,允许数据库输入提供者在某些使用模式下实现 SQL 注入,”PostgreSQL 安全团队解释道。
“具体来说,SQL 注入需要应用程序使用函数结果来构建 psql 的输入,即 PostgreSQL 交互终端。同样,当 client_encoding 为 BIG5 且 server_encoding 为 EUC_TW 或 MULE_INTERNAL 时,PostgreSQL 命令行实用程序程序中引用语法的不当处理允许命令行参数来源实现 SQL 注入。”
Rapid7 的测试表明,成功利用 CVE-2024-12356 实现远程代码执行需要使用 CVE-2025-1094,这表明与 BeyondTrust RS CVE-2024-12356 相关的漏洞利用依赖于对 PostgreSQL CVE-2025-1094 的利用。
此外,尽管 BeyondTrust 表示 CVE-2024-12356 是一个命令注入漏洞(CWE-77),但 Rapid7 认为将其更准确地归类为参数注入漏洞(CWE-88)。
Rapid7 安全研究人员还发现了一种方法,可以独立于 CVE-2024-12356 参数注入漏洞,在易受攻击的 BeyondTrust 远程支持(RS)系统中利用 CVE-2025-1094 实现远程代码执行。
更重要的是,他们发现虽然 BeyondTrust 对 CVE-2024-12356 的修补程序没有解决 CVE-2025-1094 的根本原因,但它成功地防止了这两个漏洞的利用。
“我们还了解到,可以在 BeyondTrust 远程支持中利用 CVE-2025-1094,而无需利用 CVE-2024-12356,”Rapid7 表示。“然而,由于 CVE-2024-12356 修补程序采用了一些额外的输入消毒措施,利用仍然会失败。”
消息来源:Bleeping Computer;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文
暂无评论内容