L’équipe de recherche sur les vulnérabilités de Rapid7 affirme que les attaquants ont exploité une faille de sécurité PostgreSQL comme un jour zéro pour violer le réseau de la société de gestion des accès privilégiés BeyondTrust en décembre.
BeyondTrust a révélé que des attaquants avaient violé ses systèmes et 17 instances SaaS d’assistance à distance début décembre à l’aide de deux bogues zero-day (CVE-2024-12356 et CVE-2024-12686) et d’une clé API volée.
Moins d’un mois plus tard, début janvier, le Département du Trésor des États-Unis a révélé que son réseau avait été piraté par des acteurs malveillants qui utilisaient une clé API SaaS d’assistance à distance volée pour compromettre son instance BeyondTrust.
Depuis lors, la violation du Trésor a été liée à des pirates informatiques soutenus par l’État chinois, connus sous le nom de Silk Typhoon, un groupe de cyberespionnage impliqué dans des attaques de reconnaissance et de vol de données qui est devenu largement connu après avoir piraté environ 68 500 serveurs au début de 2021 à l’aide de Microsoft Exchange Server ProxyLogon zero-days.
Les pirates chinois ciblaient spécifiquement le Comité sur les investissements étrangers aux États-Unis (CFIUS), qui examine les investissements étrangers pour les risques pour la sécurité nationale, et le Bureau du contrôle des avoirs étrangers (OFAC), qui administre les programmes de sanctions commerciales et économiques.
Ils ont également piraté le Bureau des systèmes de recherche financière du Trésor, mais l’impact de cet incident est toujours en cours d’évaluation.
Silk Typhoon aurait utilisé son accès à l’instance BeyondTrust du Trésor pour voler « des informations non classifiées relatives à d’éventuelles sanctions et d’autres documents. »
Le 19 décembre, CISA a ajouté la vulnérabilité CVE-2024-12356 à son catalogue de vulnérabilités exploitées connues, exigeant que les agences fédérales américaines sécurisent leurs réseaux contre les attaques en cours dans un délai d’une semaine. L’agence de cybersécurité a également ordonné aux agences fédérales de patcher leurs systèmes contre CVE-2024-12686 le 13 janvier.
PostgreSQL zero-day lié à une violation de confiance BeyondTrust
Lors de l’analyse de CVE-2024-12356, l’équipe Rapid7 a découvert une nouvelle vulnérabilité zero-day dans PostgreSQL (CVE-2025-1094), qui a été signalée le 27 janvier et corrigée jeudi. CVE-2025-1094 autorise les injections SQL lorsque l’outil interactif PostgreSQL lit une entrée non fiable, car il traite de manière incorrecte des séquences d’octets invalides spécifiques à partir de caractères UTF-8 invalides.
« Une neutralisation incorrecte de la syntaxe de citation dans les fonctions libpq PostgreSQL PQescapeLiteral(), PQescapeIdentifier(), PQescapeString () et PQescapeStringConn() permet à un fournisseur d’entrée de base de données de réaliser une injection SQL dans certains modèles d’utilisation », explique l’équipe de sécurité de PostgreSQL.
« Plus précisément, l’injection SQL nécessite que l’application utilise le résultat de la fonction pour créer une entrée dans psql, le terminal interactif PostgreSQL. De même, une neutralisation incorrecte de la syntaxe de citation dans les programmes utilitaires de ligne de commande PostgreSQL permet à une source d’arguments de ligne de commande de réaliser une injection SQL lorsque client_encoding est BIG5 et server_encoding est l’un des EUC_TW ou MULE_INTERNAL. »
Les tests de Rapid7 ont montré que l’exploitation réussie de CVE-2024 – 12356 pour réaliser l’exécution de code à distance nécessite l’utilisation de CVE-2025-1094, suggérant que l’exploit associé à BeyondTrust RS CVE-2024-12356 reposait sur l’exploitation de PostgreSQL CVE-2025-1094.
De plus, alors que BeyondTrust a déclaré que CVE-2024-12356 est une vulnérabilité d’injection de commandes (CWE-77), Rapid7 soutient qu’elle serait plus précisément classée comme une vulnérabilité d’injection d’arguments (CWE-88).
Les chercheurs en sécurité de Rapid7 ont également identifié une méthode pour exploiter CVE-2025-1094 pour l’exécution de code à distance dans des systèmes d’assistance à distance (RS) BeyondTrust vulnérables indépendamment de la vulnérabilité d’injection d’arguments CVE-2024-12356.
Plus important encore, ils ont constaté que même si le correctif de BeyondTrust pour CVE-2024-12356 ne résout pas la cause première de CVE-2025-1094, il empêche avec succès l’exploitation des deux vulnérabilités.
« Nous avons également appris qu’il est possible d’exploiter CVE-2025-1094 dans BeyondTrust Remote Support sans avoir besoin d’exploiter CVE-2024-12356 », a déclaré Rapid7. « Cependant, en raison de l’assainissement supplémentaire des entrées que le correctif pour CVE-2024-12356 utilise, l’exploitation échouera toujours. »