2024 оны 12-р сард BeyondTrust Privileged Remote Access (PRA) болон Remote Support (RS) бүтээгдэхүүнүүдийн zero-day эмзэг байдлыг ашиглан аюул заналхийлэгчид PostgreSQL-д урьд өмнө мэдэгдээгүй байсан SQL тарилгын алдааг ашигласан байх магадлалтай гэж Rapid7-ээс олж мэдсэн.
CVE-2025-1094 (CVSS оноо: 8.1) гэж бүртгэгдсэн эмзэг байдал нь PostgreSQL интерактив хэрэгсэл psql-д нөлөөлдөг.
"CVE-2025-1094-ээр дамжуулан SQL тарилга үүсгэж чаддаг халдагчид интерактив хэрэглүүрийн мета командуудыг ажиллуулах чадварыг ашиглан дурын кодыг (ACE) гүйцэтгэх боломжтой" гэж аюулгүй байдлын судлаач Стивен Февер хэлэв.
Цаашлаад кибер аюулгүй байдлын компани CVE-2024-12356-д хийсэн шалгалтын хүрээнд энэхүү нээлтийг хийсэн бөгөөд BeyondTrust программ хангамжид саяхан засварласан аюулгүй байдлын алдаа нь баталгаагүй зайнаас код гүйцэтгэх боломжийг олгосон гэж онцолжээ.
Тодруулбал, "CVE-2024-12356-г амжилттай ашиглахад кодыг алсаас гүйцэтгэхийн тулд CVE-2025-1094-ийн ашиглалтыг багтаасан байх шаардлагатай" гэдгийг тогтоосон.
Зохицуулсан тодруулгад PostgreSQL-ийн засварлагчид дараах хувилбаруудад асуудлыг шийдвэрлэхийн тулд шинэчлэлтийг гаргасан.
- PostgreSQL 17 (17.3-т зассан)
- PostgreSQL 16 (16.7-д зассан)
- PostgreSQL 15 (15.11-д зассан)
- PostgreSQL 14 (14.16-д зассан)
- PostgreSQL 13 (13.19-д зассан)
Энэ эмзэг байдал нь PostgreSQL нь хүчингүй UTF-8 тэмдэгтүүдийг хэрхэн зохицуулж байгаагаас үүдэлтэй бөгөөд ингэснээр халдагчид бүрхүүлийн командыг гүйцэтгэх боломжийг олгодог "\!" товчлол командыг ашиглан SQL тарилгыг ашиглаж болох хувилбарт үүд хаалгыг нээж өгдөг.
"Халдагчид CVE-2025-1094-ийг ашиглан энэ мета командыг гүйцэтгэх боломжтой бөгөөд ингэснээр үйлдлийн системийн бүрхүүлийн командыг удирдаж болно" гэж Цөөхөн хэлэв. "Өөрөөр хэлбэл, CVE-2025-1094-ээр дамжуулан SQL тарилга үүсгэж чаддаг халдагчид халдагчийн хяналттай SQL мэдэгдлүүдийг дур мэдэн ажиллуулж болно."
АНУ-ын Кибер аюулгүй байдал, дэд бүтцийн аюулгүй байдлын агентлаг (CISA) SimpleHelp алсаас дэмжлэг үзүүлэх програм хангамжид (CVE-2024-57727, CVSS оноо: 7.5) нөлөөлсөн аюулгүй байдлын дутагдлыг Мэдэгдэж буй ашиглагдаж буй эмзэг байдлын (KEV) каталогт нэмснээр холбооны агентлагууд 3-р сарын 2-ны 26-ны өдрийн 26-ны өдрийг засварлахыг шаардсан.
