تیم تحقیقات امنیتی Rapid7 اعلام کرد که مهاجمان در ماه دسامبر از یک آسیب‌پذیری روز-صفر در PostgreSQL برای نفوذ به شبکه شرکت BeyondTrust استفاده کرده‌اند. این حمله منجر به نقض امنیتی در ۱۷ نمونه از سرویس‌های SaaS پشتیبانی از راه دور BeyondTrust شد.

BeyondTrust در گزارش خود تأیید کرده است که مهاجمان با استفاده از دو آسیب‌پذیری روز-صفر به شناسه‌های CVE-2024-12356 و CVE-2024-12686 و یک کلید API سرقت‌شده به سیستم‌های این شرکت نفوذ کرده‌اند.

ارتباط با حمله به خزانه‌داری ایالات متحده

در ژانویه ۲۰۲۵، وزارت خزانه‌داری آمریکا اعلام کرد که شبکه آن با استفاده از یک کلید API سرقت‌شده در سرویس BeyondTrust مورد حمله قرار گرفته است. این نفوذ توسط هکرهای تحت حمایت دولت چین، گروه Silk Typhoon انجام شده که در حملات جاسوسی سایبری و سرقت اطلاعات دست دارد.

Silk Typhoon در این حمله، نهادهای حساس زیر را هدف قرار داد:
✔ کمیته سرمایه‌گذاری خارجی در ایالات متحده (CFIUS) که بررسی ریسک‌های امنیت ملی مرتبط با سرمایه‌گذاری خارجی را انجام می‌دهد.
✔ دفتر کنترل دارایی‌های خارجی (OFAC) که برنامه‌های تحریم اقتصادی و تجاری را مدیریت می‌کند.
✔ دفتر تحقیقات مالی وزارت خزانه‌داری که تأثیر حمله بر آن همچنان در دست بررسی است.

مهاجمان از دسترسی خود به سرویس BeyondTrust برای سرقت اطلاعات محرمانه درباره تحریم‌های احتمالی و سایر اسناد حساس استفاده کرده‌اند.

کشف آسیب‌پذیری جدید در PostgreSQL

تیم Rapid7 در حین بررسی آسیب‌پذیری CVE-2024-12356، یک نقص امنیتی جدید در PostgreSQL با شناسه CVE-2025-1094 را کشف کرد. این آسیب‌پذیری به مهاجمان امکان اجرای حملات تزریق SQL (SQL Injection) را از طریق نقص در پردازش ورودی‌های نامعتبر در PostgreSQL می‌دهد.

جزئیات فنی آسیب‌پذیری:
🔹 ضعف در توابع libpq مانند PQescapeLiteral() و PQescapeString()، که می‌تواند برای حمله تزریق SQL استفاده شود.
🔹 این نقص امنیتی هنگامی خطرناک‌تر می‌شود که رمزگذاری client_encoding روی BIG5 تنظیم شده و رمزگذاری سرور یکی از EUC_TW یا MULE_INTERNAL باشد.
🔹 بهره‌برداری از CVE-2024-12356 برای اجرای کد از راه دور (RCE) مستلزم سوءاستفاده همزمان از CVE-2025-1094 است.

اقدامات امنیتی و اصلاحات BeyondTrust

🔹 تیم Rapid7 تأیید کرده است که وصله امنیتی منتشر شده برای CVE-2024-12356 مانع از بهره‌برداری از هر دو آسیب‌پذیری می‌شود، حتی اگر مشکل اصلی CVE-2025-1094 را برطرف نکند.
🔹 اگرچه CVE-2024-12356 قبلاً به‌عنوان یک آسیب‌پذیری تزریق فرمان (CWE-77) طبقه‌بندی شده بود، Rapid7 آن را دقیق‌تر یک نقص تزریق آرگومان (CWE-88) معرفی کرده است.

این حمله بار دیگر نشان می‌دهد که مهاجمان دولتی به‌طور فعال از آسیب‌پذیری‌های روز-صفر در نرم‌افزارهای حیاتی برای نفوذ به نهادهای حساس استفاده می‌کنند. از این رو، سازمان‌ها باید به‌روزرسانی‌های امنیتی را سریعاً اعمال کرده و سطح دسترسی‌های مدیریتی را محدود کنند.