PostgreSQL ゼロデイ脆弱性 CVE-2025-1094：BeyondTrust を介した米財務省侵害の原因か？

Rapid7 Flags New PostgreSQL Zero-Day Connected to BeyondTrust Exploitation

2025/02/13 SecurityWeek — 2月13日 (木) に Rapid7 のセキュリティ研究者たちにより、PostgreSQL に新たなゼロデイ脆弱性が発見されたが、BeyondTrust リモート・サポート製品に対する一連の攻撃において、この欠陥は重要な構成要素だったようだ。

PostgreSQL 対話型ターミナル psql に影響を及ぼす脆弱性 CVE-2025-1094 は、正しくエスケープされた信頼できない入力を取り込んだ SQL 文により、SQL インジェクションをトリガーする可能性を持つものだ。

興味深いことに Rapid7 は、この PostgreSQL バグの悪用と、BeyondTrust リモート・サポート・システムに対するリモート・コード実行の攻撃を、ダイレクトに結び付けている。この BeyondTrust ハッキングでは、米国財務省のマシンが侵害されている。

Rapid7 の研究者たちは、調査したすべてのシナリオにおいて、BeyondTrust のエクスプロイト CVE-2024-12356 においては、この PostgreSQL の欠陥を利用する必要があったと述べている。 BeyondTrust は、脆弱性 CVE-2024-12356 以外にも、CVE-2024-12686 などの欠陥に対するパッチを発行しているが、この PostgreSQL にける深刻な欠陥は、BeyondTrust 攻撃において懸念すべき問題となっている。

Rapid7 の公開ドキュメントによると、このバグは、不正な UTF-8 キャラクタによる無効なバイト・シーケンスを、psql が処理する方法に存在するという。また、Rapid7 のテストでは、細工された無効なシーケンスにより SQL コマンドが途中で終了し、攻撃者による追加のステートメントの挿入や、psql のメタコマンドを介したシェル実行を、トリガーできることが判明したという。

適格に管理されたテストで Rapid7 の研究者たちは、システムで id コマンドを実行するコマンドを挿入し、システム全体に対する侵害の可能性を確認したと述べている。

すでに PostgreSQL チームは緊急パッチをリリースし、PostgreSQL 17.3／16.7／15.11／14.16／13.19 以前のバージョンが影響を受けると警告している。同プロジェクトは、このゼロデイ攻撃の発見について、Rapid7 の功績だと認めているが、前述の攻撃については認めていない。その一方で Rapid7 は、脆弱な BeyondTrust システムのフィンガー・プリントを生成し、ペイロードの配信を自動化する、Metasploit モジュールもリリースしている。

この最新の展開は、中国政府に支援されるハッカーが、BeyondTrust サービスを侵害した後に、米国財務省のワークステーションと非機密文書に対して、リモート・アクセスを達成したというニュースを受けるものでもある。

財務省は、「この状況は、大規模なサイバー・セキュリティ・インシデントだ」と表現していたが、侵害の範囲は詳細に明らかにされておらず、侵害されたワークステーションの台数や、アクセスされた可能性のある文書の種類などについてが、なんの情報も提供していない。

米国財務省の Aditi Hardikar 管理担当次官は、議員たちへ書簡において、「この問題について、財務省が BeyondTrust から知らされたのは、2024年12月8日の時点だった。同ベンダーからの報告によると、財務省各部局 (DO) のエンド・ユーザーに対して提供する、クラウドベースのサービスを保護するために使用す、BeyondTrust リモート・サポートのキーに、脅威アクターたちが不正にアクセスしたようだ」と述べている。

財務省当局は、BeyondTrust が侵害を公表した日に、公開されたキーについて検知した。その１週間後に BeyondTrust は、リモート・サポートおよび特権リモート・アクセスのバージョン 24.3.1 以前に影響を与える、コマンド・インジェクションの脆弱性 CVE-2024-12356 (CVSS：9.8) の存在を明らかにした。

PostgreSQL の脆弱性 CVE-2025-1094 を悪用した、BeyondTrust Remote Support 製品へのゼロデイ攻撃が発生しています。パッチがリリースされていますので、ご利用のチームは、ご確認ください。なお、文中で触れられている、中国 APT による米国財務省への侵害については、以下の記事でお伝えしています。よろしければ、BeyondTrust で検索と併せて、ご参照ください。

2025/01/07：CISA が公表する BeyondTrust インシデントの詳細：連邦政府の被害は財務省のみ
2024/12/31：米国の財務省で発生したデータ侵害：中国 APT が BeyondTrust 経由で侵入？

Share this: