根据 Rapid7 的调查结果,2024 年 12 月利用 BeyondTrust 特权远程访问(PRA)和远程支持(RS)产品中的零日漏洞的威胁行为者,很可能还利用了 PostgreSQL 中此前未知的 SQL 注入漏洞。这个被追踪为 CVE-2025-1094(通用漏洞评分系统(CVSS)评分为 8.1)的漏洞,影响了 PostgreSQL 交互式工具 psql。安全研究员斯蒂芬・富尔(Stephen Fewer)表示:“能够通过 CVE-2025-1094 实现 SQL 注入的攻击者,随后可以利用该交互式工具运行元命令的能力来实现任意代码执行(ACE)。”这家网络安全公司进一步指出,他们是在对 CVE-2024-12356 进行调查时发现了这一情况,CVE-2024-12356 是 BeyondTrust 软件中最近已修复的一个安全漏洞,该漏洞允许未经身份验证的远程代码执行。具体来说,该公司发现 “要成功利用 CVE-2024-12356 漏洞,必须包含对 CVE-2025-1094 漏洞的利用,才能实现远程代码执行”。在一次协调披露中,PostgreSQL 的维护者发布了一个更新,以修复以下版本中的问题:1.PostgreSQL 17(在 17.3 版本中修复)2.PostgreSQL 16(在 16.7 版本中修复)3.PostgreSQL 15(在 15.11 版本中修复)4.PostgreSQL 14(在 14.16 版本中修复)5.PostgreSQL 13(在 13.19 版本中修复)该漏洞源于 PostgreSQL 处理无效 UTF-8 字符的方式,从而为攻击者利用快捷命令 “!” 进行 SQL 注入打开了方便之门,该命令可用于执行 shell 命令。富尔说:“攻击者可以利用 CVE-2025-1094 来执行这个元命令,从而控制所执行的操作系统 shell 命令。或者,能够通过 CVE-2025-1094 实现 SQL 注入的攻击者,可以执行由攻击者任意控制的 SQL 语句。”与此同时,美国网络安全与基础设施安全局(CISA)将一个影响 SimpleHelp 远程支持软件的安全漏洞(CVE-2024-57727,CVSS 评分为 7.5)列入了已知被利用漏洞(KEV)目录,要求联邦机构在 2025 年 3 月 6 日前应用修复程序。
