A equipe de pesquisa de vulnerabilidades da Rapid7 informou que atacantes exploraram uma falha de segurança no PostgreSQL como um zero-day para invadir a rede da empresa de gerenciamento de acesso privilegiado BeyondTrust em dezembro.
A BeyondTrust revelou que atacantes invadiram seus sistemas e 17 instâncias do Remote Support SaaS no início de dezembro usando dois bugs zero-day (
CVE-2024-12356
e
CVE-2024-12686
) e uma chave API roubada.
Menos de um mês depois, no início de janeiro, o Departamento do Tesouro dos EUA divulgou que sua rede foi invadida por agentes de ameaças que usaram uma chave API do Remote Support SaaS roubada para comprometer sua instância da BeyondTrust.
Desde então, a invasão do Tesouro foi vinculada a hackers chineses apoiados pelo estado, rastreados como Silk Typhoon, um grupo de ciberespionagem envolvido em ataques de reconhecimento e roubo de dados que se tornou amplamente conhecido após hackear cerca de 68.500 servidores no início de 2021 usando zero-days do Microsoft Exchange Server ProxyLogon.
Os hackers chineses visaram especificamente o Comitê de Investimento Estrangeiro nos Estados Unidos (CFIUS), que revisa investimentos estrangeiros quanto a riscos à segurança nacional, e o Office of Foreign Assets Control (OFAC), que administra programas de sanções comerciais e econômicas.
Eles também invadiram os sistemas do Office of Financial Research do Tesouro, mas o impacto deste incidente ainda está sendo avaliado.
Acredita-se que o Silk Typhoon tenha usado seu acesso à instância da BeyondTrust do Tesouro para roubar "informações não classificadas relacionadas a possíveis ações de sanções e outros documentos".
Em 19 de dezembro, a CISA incluiu a vulnerabilidade
CVE-2024-12356
em seu catálogo de Vulnerabilidades Exploradas Conhecidas, exigindo que as agências federais dos EUA protejam suas redes contra ataques em andamento dentro de uma semana.
A agência de cibersegurança também ordenou que as agências federais corrigissem seus sistemas contra o
CVE-2024-12686
em 13 de janeiro.
Ao analisar o
CVE-2024-12356
, a equipe da Rapid7 descobriu uma nova vulnerabilidade zero-day no PostgreSQL (
CVE-2025-1094
), relatada em 27 de janeiro e corrigida na quinta-feira.
O
CVE-2025-1094
permite injeções de SQL quando a ferramenta interativa do PostgreSQL lê entradas não confiáveis, pois processa de forma incorreta sequências de bytes inválidas de caracteres UTF-8 inválidos.
"A neutralização imprópria da sintaxe de citação nas funções libpq do PostgreSQL PQescapeLiteral(), PQescapeIdentifier(), PQescapeString() e PQescapeStringConn() permite que um provedor de entrada de banco de dados consiga uma injeção de SQL em certos padrões de uso", explica a equipe de segurança do PostgreSQL.
Especificamente, a injeção de SQL requer que a aplicação use o resultado da função para construir a entrada para o psql, o terminal interativo do PostgreSQL.
Da mesma forma, a neutralização imprópria da sintaxe de citação nos programas de utilidade de linha de comando do PostgreSQL permite que uma fonte de argumentos de linha de comando consiga uma injeção de SQL quando o client_encoding é BIG5 e o server_encoding é um dos EUC_TW ou MULE_INTERNAL.
Os testes da Rapid7 mostraram que a exploração bem-sucedida do
CVE-2024-12356
para alcançar execução de código remoto requer o uso do
CVE-2025-1094
, sugerindo que o exploit associado ao BeyondTrust RS
CVE-2024-12356
dependeu da exploração do PostgreSQL
CVE-2025-1094
.
Além disso, embora a BeyondTrust tenha dito que o
CVE-2024-12356
é uma vulnerabilidade de injeção de comando (CWE-77), a Rapid7 argumenta que seria mais precisamente classificada como uma vulnerabilidade de injeção de argumento (CWE-88).
Pesquisadores de segurança da Rapid7 também identificaram um método para explorar o
CVE-2025-1094
para execução de código remoto em sistemas vulneráveis do BeyondTrust Remote Support (RS) independentemente da vulnerabilidade de injeção de argumento
CVE-2024-12356
.
Mais importante, eles descobriram que, embora o patch da BeyondTrust para o
CVE-2024-12356
não aborde a causa raiz do
CVE-2025-1094
, ele impede com sucesso a exploração de ambas as vulnerabilidades.
"Também aprendemos que é possível explorar o
CVE-2025-1094
no BeyondTrust Remote Support sem a necessidade de aproveitar o
CVE-2024-12356
", disse a Rapid7.
No entanto, devido a alguma sanitização adicional de entrada que o patch para o
CVE-2024-12356
emprega, a exploração ainda falhará.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...