Les pirates suspects parrainés par l’État chinois qui ont violé les postes de travail de plusieurs employés du Trésor américain en décembre 2024 l’ont fait en tirant non pas un seul, mais deux jours zéro-jours, selon Rapid7 chercheurs.
Il a été initialement signalé que les attaquants ont compromis les instances SaaS du Trésor au-delà du Trésor via CVE-2024-12356, une vulnérabilité d’injection de commande non authentifiée auparavant inconnue.
Mais, comme les chercheurs Rapid7 l’ont découvert (et confirmé par les tests), «un exploit réussi pour CVE-2024-12356 a dû inclure l’exploitation du CVE-2025-1094 afin d’atteindre l’exécution du code distant.»
Sur CVE-2025-1094
Le CVE-2025-1094 est une vulnérabilité découlant de la façon dont l’outil interactif PostgreSQL (PSQL) gère certaines séquences d’octets non valides à partir de caractères UTF-8 non valides et peut être exploité pour l’injection SQL.
“Un attaquant qui peut générer une injection SQL via le CVE-2025-1094 peut ensuite atteindre l’exécution de code arbitraire (ACE) en tirant parti de la capacité de l’outil interactif à exécuter des méta-commands”, a expliqué Stephen moins, chercheur principal à Rapid7,.
«Le méta-command, identifié par le symbole de marque d’exclamation, permet d’exécuter une commande de shell du système d’exploitation. Alternativement, un attaquant qui peut générer une injection SQL via CVE-2025-1094 peut exécuter des instructions SQL contrôlées par un attaquant arbitraire. »
Au cours de ses recherches, il a également découvert qu’avant Beyondtrust avait publié le patch du CVE-2024-12356 à la mi-décembre 2024, CVE-2025-1094 était également exploitable sur les cibles de support à distance vulnérables sans Tiration du CVE-2024-12356.
Des correctifs sont disponibles
L’équipe PostgreSQL a été informée et a publié des correctifs pour CVE-2025-1094 le 13 février 2025.
La bonne nouvelle est que les correctifs Beyondtrust de décembre ont également atténué le risque que les attaquants tirent parti du Postgresql Zero-Day pour cibler les solutions d’accès à distance privilégié (PRA) de Beyondtrust et de support à distance (RS).
Caitlin Condon, directeur de la recherche sur la vulnérabilité chez Rapid7, affirme également que le CVE-2025-1094 n’est pas trivial à exploiter et qu’ils ne s’attendent pas à le voir exploité dans les implémentations postgresql en dehors des versions au-delà des RS et PRA connues.
Mais, elle a ajouté: «Il est clair que les adversaires qui ont perpétré l’attaque de décembre * vraiment * connaissaient la technologie cible.»
Il est conseillé aux utilisateurs de PostgreSQL de passer à une version fixe PostgreSQL: 17.3, 16.7, 15.11, 14.16 ou 13.19.
Les utilisateurs de Beyondtrust qui n’ont pas encore implémenté le correctif de décembre 2024 devraient le faire rapidement. Rapid7 a publié des détails techniques sur les deux jours zéro et a partagé des indicateurs de compromis (messages d’erreur dans les journaux) qui pourraient indiquer le CVE-2025-1094 ayant été exploité sur les instances de support à distance Beyondtrust.
