Ciberseguridad 360 | Vulnerabilidad de PostgreSQL explotada junto con zero-day de BeyondTrust en ataques selectivos

Los actores de amenazas que estuvieron detr�s de la explotaci�n de una vulnerabilidad zero-day en los productos BeyondTrust Privileged Remote Access (PRA) y Remote Support (RS) en diciembre de 2024 probablemente tambi�n explotaron un fallo de inyecci�n SQL previamente desconocido en PostgreSQL, seg�n los hallazgos de Rapid7.

La vulnerabilidad, rastreada como CVE-2025-1094 (puntuaci�n CVSS: 8,1), afecta a la herramienta interactiva psql de PostgreSQL.

"Un atacante que pueda generar una inyecci�n SQL a trav�s de CVE-2025-1094 puede lograr la ejecuci�n arbitraria de c�digo (ACE) aprovechando la capacidad de la herramienta interactiva para ejecutar metacomandos", dijo el investigador de seguridad Stephen Fewer.

La empresa de ciberseguridad se�al� adem�s que hizo el descubrimiento como parte de su investigaci�n sobre CVE-2024-12356, un fallo de seguridad recientemente parcheado en el software BeyondTrust que permite la ejecuci�n remota de c�digo sin autenticaci�n.

En concreto, descubri� que "un exploit exitoso de CVE-2024-12356 ten�a que incluir la explotaci�n de CVE-2025-1094 para lograr la ejecuci�n remota de c�digo".

En una revelaci�n coordinada, los mantenedores de PostgreSQL publicaron una actualizaci�n para solucionar el problema en las siguientes versiones:

PostgreSQL 17 (Corregido en 17.3)

PostgreSQL 16 (Corregido en 16.7)

PostgreSQL 15 (Corregido en 15.11)

PostgreSQL 14 (Corregido en 14.16)

PostgreSQL 13 (Corregido en 13.19)

La vulnerabilidad tiene su origen en la forma en que PostgreSQL gestiona los caracteres UTF-8 no v�lidos, abriendo as� la puerta a un escenario en el que un atacante podr�a explotar una inyecci�n SQL haciendo uso de un comando de acceso directo �\! , que permite la ejecuci�n de comandos de shell.

"Un atacante puede aprovechar CVE-2025-1094 para realizar este meta-comando, controlando as� el comando shell del sistema operativo que se ejecuta", dijo Fewer. "Alternativamente, un atacante que pueda generar una inyecci�n SQL a trav�s de CVE-2025-1094 puede ejecutar sentencias SQL arbitrarias controladas por el atacante".

El desarrollo se produce cuando la Agencia de Ciberseguridad y Seguridad de Infraestructuras de EE.UU. (CISA) ha a�adido un fallo de seguridad que afecta al software de asistencia remota SimpleHelp (CVE-2024-57727, puntuaci�n CVSS: 7,5) al cat�logo de Vulnerabilidades Explotadas Conocidas (KEV), exigiendo a las agencias federales que apliquen las correcciones antes del 6 de marzo de 2025.

Fuente: thehackernews