vaspvort
Ночной дозор
Команда форума
Модератор
ПРОВЕРЕННЫЙ ПРОДАВЕЦ
Private Club
Старожил
Migalki Club
Меценат💰️
Ошибка PostgreSQL открыла путь к правительственным системам при взломе BeyondTrust.
В 2023 году хакеры использовали уязвимость в базе данных PostgreSQL, чтобы атаковать компанию BeyondTrust, которая занимается защитой привилегированного доступа. По данным Rapid7, злоумышленники использовали две Zero-Day уязвимости (CVE-2024-12356 и CVE-2024-12686), а также украденный API-ключ, чтобы проникнуть в систему BeyondTrust и 17 сервисов удаленной поддержки.
В январе 2025 года Минфин США сообщил , что сеть ведомства тоже подверглась атаке. Хакеры использовали украденный API-ключ, чтобы получить доступ к системе BeyondTrust. Позже выяснилось, что за атакой стоит китайская хакерская группа Silk Typhoon, которая известна своими шпионскими кампаниями и раньше уже взламывала десятки тысяч серверов по всему миру.
Основные цели атаки — Комитет по иностранным инвестициям в США (CFIUS) и Управление по контролю за иностранными активами (OFAC). Оба ведомства работают с санкциями и проверяют инвестиции с точки зрения безопасности страны. Хакеры также проникли в Управление финансовых исследований, но пока неизвестно, какие именно данные украли. По предварительным данным, киберпреступники могли получить информацию о возможных санкциях и других важных решениях.
В декабре 2024 года CISA добавило CVE-2024-12356 в свой каталог KEV и обязало госструктуры устранить ошибку в течение недели. В январе похожие меры были приняты и для уязвимости CVE-2024-12686 .
Специалисты Rapid7 обнаружили , что для успешного взлома CVE-2024-12356 хакеры использовали ещё одну уязвимость — CVE-2025-1094 (оценка CVSS: 8.1) в PostgreSQL, которая позволяет внедрять вредоносные команды при обработке некорректных данных. Недостаток обнаружили 27 января и исправили только в феврале.
Во время анализа уязвимости специалисты Rapid7 смогли выполнить код на сервере BeyondTrust RS без необходимости использования CVE-2024-12356. Это означает, что даже после установки исправления от BeyondTrust, угроза эксплуатации CVE-2025-1094 в PostgreSQL остаётся, если база данных не обновлена. Однако выпущенное обновление блокирует атаки, предотвращая использование вредоносных символов в уязвимом коде.
Также специалисты уточнили, что BeyondTrust изначально неправильно классифицировала уязвимость CVE-2024-12356. Компания назвала её уязвимостью внедрения команд (CWE-77), но правильнее было бы сказать, что это инъекция аргументов (CWE-88). В ходе анализа исправления исследователи обнаружили механизмы защиты, включающие новые методы очистки входных данных. Однако CVE-2025-1094 остаётся нерешённой проблемой, и PostgreSQL планирует выпустить обновление для устранения уязвимости.
Специалисты рекомендуют администраторам BeyondTrust PRA и RS срочно установить исправление BT24-10-ONPREM1 или BT24-10-ONPREM2.
В 2023 году хакеры использовали уязвимость в базе данных PostgreSQL, чтобы атаковать компанию BeyondTrust, которая занимается защитой привилегированного доступа. По данным Rapid7, злоумышленники использовали две Zero-Day уязвимости (CVE-2024-12356 и CVE-2024-12686), а также украденный API-ключ, чтобы проникнуть в систему BeyondTrust и 17 сервисов удаленной поддержки.
В январе 2025 года Минфин США сообщил , что сеть ведомства тоже подверглась атаке. Хакеры использовали украденный API-ключ, чтобы получить доступ к системе BeyondTrust. Позже выяснилось, что за атакой стоит китайская хакерская группа Silk Typhoon, которая известна своими шпионскими кампаниями и раньше уже взламывала десятки тысяч серверов по всему миру.
Основные цели атаки — Комитет по иностранным инвестициям в США (CFIUS) и Управление по контролю за иностранными активами (OFAC). Оба ведомства работают с санкциями и проверяют инвестиции с точки зрения безопасности страны. Хакеры также проникли в Управление финансовых исследований, но пока неизвестно, какие именно данные украли. По предварительным данным, киберпреступники могли получить информацию о возможных санкциях и других важных решениях.
В декабре 2024 года CISA добавило CVE-2024-12356 в свой каталог KEV и обязало госструктуры устранить ошибку в течение недели. В январе похожие меры были приняты и для уязвимости CVE-2024-12686 .
Специалисты Rapid7 обнаружили , что для успешного взлома CVE-2024-12356 хакеры использовали ещё одну уязвимость — CVE-2025-1094 (оценка CVSS: 8.1) в PostgreSQL, которая позволяет внедрять вредоносные команды при обработке некорректных данных. Недостаток обнаружили 27 января и исправили только в феврале.
Во время анализа уязвимости специалисты Rapid7 смогли выполнить код на сервере BeyondTrust RS без необходимости использования CVE-2024-12356. Это означает, что даже после установки исправления от BeyondTrust, угроза эксплуатации CVE-2025-1094 в PostgreSQL остаётся, если база данных не обновлена. Однако выпущенное обновление блокирует атаки, предотвращая использование вредоносных символов в уязвимом коде.
Также специалисты уточнили, что BeyondTrust изначально неправильно классифицировала уязвимость CVE-2024-12356. Компания назвала её уязвимостью внедрения команд (CWE-77), но правильнее было бы сказать, что это инъекция аргументов (CWE-88). В ходе анализа исправления исследователи обнаружили механизмы защиты, включающие новые методы очистки входных данных. Однако CVE-2025-1094 остаётся нерешённой проблемой, и PostgreSQL планирует выпустить обновление для устранения уязвимости.
Специалисты рекомендуют администраторам BeyondTrust PRA и RS срочно установить исправление BT24-10-ONPREM1 или BT24-10-ONPREM2.
