Vulnerabilidad PostgreSQL explotada junto con el día cero de Beyondtrust en ataques específicos

14 de febrero de 2025Ravie LakshmananDía cero / vulnerabilidad

Los actores de amenaza que estaban detrás de la explotación de una vulnerabilidad de día cero en productos de acceso remoto privilegiado (PRA) y soporte remoto (RS) (RS) en diciembre de 2024 probablemente también explotó una falla de inyección SQL previamente desconocida en Postgresql, según los hallazgos de Rapid7.

La vulnerabilidad, rastreada como CVE-2025-1094 (Puntuación CVSS: 8.1), afecta la herramienta interactiva PostgreSQL PSQL.

“Un atacante que puede generar una inyección SQL a través de CVE-2025-1094 puede lograr la ejecución de código arbitraria (ACE) aprovechando la capacidad de la herramienta interactiva para ejecutar meta-comandos”, el investigador de seguridad Stephen menos dicho.

La compañía de seguridad cibernética señaló además que hizo el descubrimiento como parte de su investigación sobre CVE-2024-12356, una falla de seguridad recientemente parcheada en el software Beyondtrust que permite la ejecución de código remoto no autenticado.

Específicamente, encontró que “un exploit exitoso para CVE-2024-12356 tenía que incluir la explotación de CVE-2025-1094 para lograr la ejecución de código remoto”.

En una divulgación coordinada, los mantenedores de PostgreSQL liberado una actualización para abordar el problema en las siguientes versiones –

• PostgreSQL 17 (fijo en 17.3)
• PostgreSQL 16 (fijo en 16.7)
• PostgreSQL 15 (fijo en 15.11)
• PostgreSQL 14 (fijo en 14.16)
• PostgreSQL 13 (fijo en 13.19)

La vulnerabilidad proviene de cómo PostgreSQL maneja los caracteres UTF-8 no válidos, abriendo así la puerta a un escenario en el que un atacante podría explotar una inyección SQL haciendo uso de un Comando atajo “!”que habilita la ejecución del comando de shell.

“Un atacante puede aprovechar CVE-2025-1094 para realizar este meta-comando, controlando así el comando de shell del sistema operativo que se ejecuta”, dijo menos. “Alternativamente, un atacante que puede generar una inyección SQL a través de CVE-2025-1094 puede ejecutar declaraciones SQL controladas por atacantes arbitrarias”.

El desarrollo se produce como la Agencia de Seguridad de Ciberseguridad e Infraestructura de los Estados Unidos (CISA) agregado Una falla de seguridad que impacta el software de soporte remoto SimpleHelp (CVE-2024-57727, puntaje CVSS: 7.5) a las vulnerabilidades explotadas conocidas (Kev) Catálogo, que requiere que las agencias federales apliquen las soluciones antes del 6 de marzo de 2025.