PostgreSQLの欠陥がゼロデイとして悪用され、BeyondTrust社に侵入される

Rapid7 の脆弱性調査チームによると、攻撃者は12月に特権アクセス管理会社 BeyondTrust のネットワークに侵入するために、ゼロデイとして PostgreSQL のセキュリティ欠陥を悪用したという。

BeyondTrust社は、攻撃者が2つのゼロデイバグ（CVE-2024-12356とCVE-2024-12686）と盗まれたAPIキーを使って、12月初旬に同社のシステムと17のリモートサポートSaaSインスタンスに侵入したことを明らかにしました。

それから1カ月も経たない1月上旬、米国財務省は、盗まれたリモートサポートSaaSのAPIキーを使用してBeyondTrustインスタンスを侵害した脅威者によってネットワークが侵害されたことを明らかにしました。

それ以来、財務省の侵害は、Silk Typhoonとして追跡されている中国国家に支援されたハッカーと関連付けられている。Silk Typhoonは、偵察とデータ窃盗攻撃に関与するサイバースパイグループで、2021年初めにMicrosoft Exchange ServerのProxyLogonゼロデイを使用して推定68,500台のサーバーをハッキングしたことで広く知られるようになった。

中国のハッカーは特に、国家安全保障上のリスクについて外国からの投資を審査する対米外国投資委員会（CFIUS）と、貿易・経済制裁プログラムを管理する外国資産管理局（OFAC）を標的としていた。

彼らは財務省の金融調査局のシステムにもハッキングしたが、この事件の影響はまだ評価中である。

シルク・タイフーンは財務省のBeyondTrustインスタンスへのアクセスを利用して、”潜在的な制裁措置やその他の文書に関連する未分類の情報 “を盗んだと見られている。

12月19日、CISAはCVE-2024-12356脆弱性をKnown Exploited Vulnerabilitiesカタログに追加し、米連邦政府機関に対し1週間以内に進行中の攻撃からネットワークを保護するよう義務付けた。同サイバーセキュリティ機関はまた、連邦政府機関に対し、1月13日にCVE-2024-12686に対するパッチ適用を命じた。

PostgreSQLのゼロデイがBeyondTrustの情報漏えいに関連か

CVE-2024-12356の分析中に、Rapid7チームはPostgreSQLの新しいゼロデイ脆弱性（CVE-2025-1094 ）を発見しました。CVE-2025-1094は、PostgreSQLの対話型ツールが信頼できない入力を読み込んだ際に、無効なUTF-8文字から特定の無効なバイト列を不正に処理するため、SQLインジェクションを許してしまいます。

PostgreSQLのセキュリティチームは、「PostgreSQLのlibpq関数PQescapeLiteral()、PQescapeIdentifier()、PQescapeString()、PQescapeStringConn()における引用構文の不適切な中和により、データベースの入力プロバイダが特定の使用パターンでSQLインジェクションを実現することができます」と説明しています。

「具体的には、SQLインジェクションでは、アプリケーションがpsql（PostgreSQLの対話型端末）への入力を構築するために関数の結果を使用する必要があります。同様に、PostgreSQLのコマンドラインユーティリティプログラムにおける引用構文の不適切な中和により、client_encodingがBIG5でserver_encodingがEUC_TWまたはMULE_INTERNALのいずれかである場合に、コマンドライン引数のソースがSQLインジェクションを達成することができます。”

Rapid7のテストによると、CVE-2024-12356を悪用してリモートでコードを実行するには、CVE-2025-1094を使用する必要があり、これはBeyondTrust RS CVE-2024-12356に関連する悪用がPostgreSQL CVE-2025-1094の悪用に依存していることを示唆している。

さらに、BeyondTrustはCVE-2024-12356がコマンドインジェクションの脆弱性（CWE-77）であると述べていますが、Rapid7は、より正確には引数インジェクションの脆弱性（CWE-88）に分類されると主張しています。

Rapid7のセキュリティ研究者は、CVE-2024-12356の引数インジェクションの脆弱性とは別に、脆弱なBeyondTrustリモートサポート（RS）システムでリモートコード実行のためにCVE-2025-1094を悪用する方法も特定した。

さらに重要なことに、BeyondTrustのCVE-2024-12356に対するパッチはCVE-2025-1094の根本原因には対処していないものの、両方の脆弱性の悪用を防ぐことに成功していることが判明しました。

「また、CVE-2024-12356を利用しなくても、BeyondTrustリモートサポートでCVE-2025-1094を悪用することが可能であることも分かった。「しかしながら、CVE-2024-12356のパッチが採用しているいくつかの追加的な入力サニテーションにより、悪用は依然として失敗する。”