Rapid7 的安全研究人员周四发现了一个新的 PostgreSQL 零日漏洞,该漏洞似乎是一个针对 BeyondTrust 远程支持产品的攻击链中的关键组成部分。

这个漏洞被标记为 CVE-2025-1094,影响 PostgreSQL 交互终端 psql,允许包含不受信任但正确转义的输入的 SQL 语句触发 SQL 注入。

有趣的是,Rapid7 直接将 PostgreSQL 漏洞的利用与针对 BeyondTrust 远程支持系统的远程代码执行攻击联系起来。这些攻击已经成功入侵了美国财政部的机器。

在所有检查的情景中,Rapid7 研究人员表示,BeyondTrust 漏洞(CVE-2024-12356)的利用都需要借助这个 PostgreSQL 漏洞。尽管 BeyondTrust 已经发布了其漏洞的补丁,包括 CVE-2024-12356 和另一个漏洞(CVE-2024-12686),但 PostgreSQL 中的基础漏洞仍然是攻击者的一个令人担忧的切入点。

根据 Rapid7 的公开文档,该漏洞存在于 psql 处理无效字节序列的方式中,这些序列来自格式错误的 UTF-8 字符。在测试中,Rapid7 研究人员发现,精心制作的无效序列可以提前终止 SQL 命令,允许攻击者注入额外的语句,甚至通过 psql 的元命令触发 shell 执行。

在受控测试中,Rapid7 研究人员表示,他们能够注入一个命令,在系统上执行 id 命令,确认了完全系统被攻破的可能性。

PostgreSQL 团队发布了一个紧急补丁,并警告称,在 PostgreSQL 17.3、16.7、15.11、14.16 和 13.19 之前的版本中存在受影响的情况。该项目在感谢 Rapid7 发现该漏洞的同时,并未承认零日漏洞的利用情况。

Rapid7 还发布了一个 Metasploit 模块,该模块可以识别易受攻击的 BeyondTrust 系统,并自动化有效载荷的传递。

本文转载自https://hackernews.cc/archives/57355