Rapid7’nin güvenlik açığı araştırma ekibi, saldırganların Aralık ayında ayrıcalıklı erişim yönetimi şirketi BeyondTrust ağını ihlal etmek için bir PostgreSQL güvenlik kusurunu sıfır gün olarak kullandıklarını söyledi.
BeyondTrust, saldırganların Aralık ayı başlarında sistemlerini ve 17 uzaktan destek SaaS örneğini, iki sıfır günlük hata (CVE-2024-12356 ve CVE-2024-12686) ve çalıntı bir API anahtarı kullanarak ihlal ettiğini ortaya koydu.
Bir aydan daha kısa bir süre sonra, Ocak ayı başlarında, ABD Hazine Bakanlığı, ağının, BeyondRust örneğini tehlikeye atmak için çalıntı bir uzaktan destek SaaS API anahtarını kullanan tehdit aktörleri tarafından ihlal edildiğini açıkladı.
O zamandan beri, Hazine ihlali, Microsoft Exchange Server Proxylogon’u kullanılarak tahmini 68.500 sunucuyu hackledikten sonra yaygın olarak bilinen keşif ve veri hırsızlığı saldırılarına katılan bir siber tayfa grubu olan ipek tayfun olarak izlenen Çin devlet destekli hackerlarla ilişkilendirildi. Sıfır günleri.
Çinli bilgisayar korsanları, ulusal güvenlik riskleri için yabancı yatırımları gözden geçiren Amerika Birleşik Devletleri’ndeki Yabancı Yatırım Komitesi’ni (CFIUS) ve ticaret ve ekonomik yaptırım programlarını yöneten Yabancı Varlık Kontrol Ofisi (OFAC) hedeflediler.
Ayrıca Hazine Finansal Araştırma Sistemleri Ofisi’ne girdiler, ancak bu olayın etkisi hala değerlendirilmektedir.
İpek tayfunun, “potansiyel yaptırım eylemleri ve diğer belgelerle ilgili sınıflandırılmamış bilgileri” çalmak için Hazine’nin BeyondRrust örneğine erişimini kullandığına inanılıyor.
19 Aralık’ta CISA, ABD federal ajanslarının bir hafta içinde devam eden saldırılara karşı ağlarını güvence altına almasını zorunlu kılan, bilinen sömürülen güvenlik açıkları kataloğuna CVE-2024-12356 güvenlik açığını ekledi. Siber güvenlik ajansı ayrıca federal ajanslara 13 Ocak’ta CVE-2024-12686’ya karşı sistemlerini düzeltmelerini emretti.
Postgresql Sıfır Gün BeyondRrust İhlaline Bağlı
CVE-2024-12356’yı analiz ederken, RAPID7 ekibi 27 Ocak’ta bildirilen ve Perşembe günü yamalanan PostgreSQL’de (CVE-2025-1094) yeni bir sıfır günlük güvenlik açığını ortaya çıkardı. CVE-2025-1094, PostgreSQL etkileşimli alet güvensiz girişi okuduğunda SQL enjeksiyonlarına izin verir, çünkü geçersiz UTF-8 karakterlerinden geçersiz geçersiz bayt dizilerini yanlış işler.
“PostgreSQL LIBPQ işlevlerinde sözdiziminin uygunsuz nötrleştirilmesi PQescapeliteral (), pqescapeTidentifier (), pqaScapeTring () ve pqescapestringConn (), bir veritabanı girdi sağlayıcısının belirli kullanım kalıplarında SQL enjeksiyonu elde etmesine izin verir.”
“Spesifik olarak, SQL enjeksiyonu, PostgreSQL etkileşimli terminal olan PSQL’e girişi yapmak için işlev sonucunu kullanmasını gerektirir. Benzer şekilde, PostgreSQL komut satırı yardımcı programlarında alıntı sözdiziminin uygunsuz nötrleştirilmesi, client_encoding olduğunda bir komut satırı enjeksiyonu elde etmesine izin verir. Big5 ve Server_Encoding EUC_TW veya MULE_INternal’dan biridir. “
Rapid7’nin testleri, uzaktan kod yürütülmesini sağlamak için CVE-2024-12356’nın başarılı bir şekilde kullanılmasının CVE-2025-1094’ü kullanmayı gerektirdiğini, bu da BeyondTrust RS CVE-2024-12356 ile ilişkili istismarın PostGRESQL CVE-2025-1094’ün sömürülmesine dayandığını gösterdiğini gösterdi.
Ek olarak, BeyondTrust CVE-2024-12356’nın bir komut enjeksiyon güvenlik açığı (CWE-77) olduğunu söylerken, Rapid7 bunun bir argüman enjeksiyon güvenlik açığı (CWE-88) olarak daha doğru bir şekilde sınıflandırılacağını savunmaktadır.
RAPID7 Güvenlik Araştırmacıları ayrıca CVE-2025-1094’ü Korunmasız BeyondTrust Uzaktan Destek (RS) sisteminde uzaktan kod yürütme için CVE-2024-12356 bağımsız değişken enjeksiyon güvenlik açığından bağımsız olarak kullanma yöntemi belirlediler.
Daha da önemlisi, BeyondTrust’un CVE-2024-12356 için yamasının CVE-2025-1094’ün temel nedenini ele almadığını, her iki güvenlik açıkının da kullanılmasını başarıyla önlediğini bulmuşlardır.
Rapid7, “Ayrıca CVE-2025-1094’ü BeyondTrust uzaktan desteğinde CVE-2024-12356’dan yararlanmaya gerek kalmadan kullanmanın mümkün olduğunu öğrendik.” Dedi. “Ancak, CVE-2024-12356 yamasının istihdam ettiği bazı ek giriş sanitasyonu nedeniyle, sömürü hala başarısız olacaktır.”