Rapid7 araştırmacılarına göre, Aralık 2024’te birkaç ABD Hazine çalışanının iş istasyonlarını ihlal eden şüpheli Çin devlet destekli bilgisayar korsanları bunu bir değil iki sıfır gün kullanarak yaptılar.
Başlangıçta saldırganların, daha önce bilinmeyen bir kimlik doğrulanmamış komut enjeksiyon güvenlik açığı olan CVE-2024-12356 aracılığıyla Hazine’nin BeyondTrust uzaktan destek SaaS örneklerini tehlikeye attığı bildirildi.
Ancak, Rapid7 araştırmacılarının keşfettiği (ve testlerle onaylandığı gibi), “CVE-2024-12356 için başarılı bir istismar, uzaktan kod yürütülmesini sağlamak için CVE-2025-1094’ün sömürülmesini içermek zorundaydı.”
CVE-2025-1094 HAKKINDA
CVE-2025-1094, PostgreSQL Etkileşimli Aracı’nın (PSQL) geçersiz UTF-8 karakterlerinden bazı geçersiz bayt dizilerini nasıl işlediğinden ve SQL enjeksiyonu için kaldırılabileceğinden kaynaklanan bir güvenlik açığıdır.
Rapid7’nin baş güvenlikli araştırmacısı Stephen Lesser, “CVE-2025-1094 aracılığıyla SQL enjeksiyonu oluşturabilen bir saldırgan daha sonra etkileşimli aracın meta komutları çalıştırma yeteneğinden yararlanarak keyfi kod yürütme (ACE) elde edebilir.
“Ünlem işareti sembolü ile tanımlanan meta-komut, bir işletim sistemi kabuğu komutunun yürütülmesine izin verir. Alternatif olarak, CVE-2025-1094 aracılığıyla SQL enjeksiyonu oluşturabilen bir saldırgan, keyfi saldırgan kontrollü SQL ifadeleri uygulayabilir. ”
Araştırması sırasında, BeyondTrust’un CVE-2024-12356 yamasını Aralık 2024’ün ortasında yayınlamadan önce, CVE-2025-1094 de savunmasız uzaktan destek hedeflerinde de sömürülebilir olduğunu keşfetti. olmadan Kalkış CVE-2024-12356.
Düzeltmeler mevcuttur
PostgreSQL ekibi bilgilendirildi ve 13 Şubat 2025’te CVE-2025-1094 için düzeltmeler yaptılar.
İyi haber şu ki, BeyondTrust Aralık yamaları, BeyondTrust’un ayrıcalıklı uzaktan erişimini (PRA) ve uzaktan destek (RS) çözümlerini hedeflemek için PostgreSQL sıfır gününden yararlanan saldırganların riskini de azalttı.
Rapid7’nin güvenlik açığı araştırma direktörü Caitlin Condon, CVE-2025-1094’ün yararlanmaya önem vermediğini ve bilinen oy kullanılabilir BeyondTrust RS ve PRA sürümlerinin dışındaki PostgreSQL uygulamalarında sömürüldüğünü görmeyi beklemediklerini söylüyor.
Ancak, “Aralık saldırısını * sürdüren rakiplerin hedef teknolojiyi gerçekten bildiği açık.”
PostgreSQL kullanıcılarına sabit bir PostgreSQL sürümüne yükseltmeleri tavsiye edilir: 17.3, 16.7, 15.11, 14.16 veya 13.19.
BeyondTrust henüz Aralık 2024 düzeltmesini uygulamayan kullanıcılar bunu hemen yapmalıdır. RAPID7, her iki sıfır gün hakkında teknik ayrıntılar yayınladı ve BeyondTrust uzaktan destek örneklerinde kullanılmış olan CVE-2025-1094’e işaret edebilecek uzlaşma göstergelerini (günlüklerde hata mesajları) paylaştı.