HackerNews 编译，转载请注明出处： 暴露的PostgreSQL实例正成为持续攻击活动的目标，攻击者企图非法获取访问权限并部署加密货币挖矿程序。 云安全公司Wiz表示，此次攻击活动是2024年8月Aqua Security首次发现的入侵活动变种，涉及使用一种名为PG_MEM的恶意软件。该活动被归因于Wiz追踪的威胁行为者JINX-0126。 研究人员阿维盖尔·梅赫廷格、亚拉·施里基和吉莉·蒂科钦斯基表示：“该威胁行为者不断进化，采取了防御规避技术，例如为每个目标部署具有独特哈希值的二进制文件，并以无文件方式执行挖矿载荷，这可能是为了规避仅依赖文件哈希信誉的云工作负载保护平台的检测。” Wiz还透露，该活动目前已导致超过1500名受害者受害，这表明具有弱密码或可预测凭据的公开暴露的PostgreSQL实例足够普遍，足以成为机会主义威胁行为者的攻击目标。 此次攻击活动最突出的特点是滥用COPY…FROM PROGRAM SQL命令在主机上执行任意shell命令。 成功利用配置不当的PostgreSQL服务获得的访问权限被用于进行初步侦查，并投放一个Base64编码的载荷，实际上这是一个shell脚本，用于终止竞争性的加密货币挖矿程序，并投放一个名为PG_CORE的二进制文件。 服务器上还下载了一个经过混淆处理的Golang二进制文件，代号为postmaster，它模仿合法的PostgreSQL多用户数据库服务器。它被设计为利用cron作业在主机上建立持久性，创建一个具有提升权限的新角色，并将另一个名为cpu_hu的二进制文件写入磁盘。 cpu_hu从GitHub下载最新版本的XMRig矿工，并通过一种称为memfd的已知Linux无文件技术在内存中启动它。 “威胁行为者为每个受害者分配了一个独特的挖矿工人，”Wiz表示，并补充说他们已识别出与该威胁行为者相关的三个不同钱包。“每个钱包大约有550个工人。综合来看，这表明该活动可能利用了超过1500台被攻陷的机器。”   消息来源：The Hacker News； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Rapid7 的漏洞研究团队表示，攻击者在 12 月份利用 PostgreSQL 的安全漏洞作为零日漏洞，攻破了特权访问管理公司 BeyondTrust 的网络。 BeyondTrust 透露，攻击者在 12 月初利用两个零日漏洞（CVE-2024-12356 和 CVE-2024-12686）以及一个被盗的 API 密钥，攻破了其系统和 17 个远程支持 SaaS 实例。 不到一个月后，1 月初，美国财政部披露其网络被威胁行为者攻破，这些行为者利用被盗的远程支持 SaaS API 密钥，攻破了其 BeyondTrust 实例。 此后，财政部的被攻破事件被追溯到黑客组织 Silk Typhoon，该组织是一个网络间谍组织，以侦察和数据窃取攻击而闻名，2021 年初因利用 Microsoft Exchange Server ProxyLogon 零日漏洞攻击约 68,500 台服务器而广为人知。 黑客特别攻击了美国外国投资委员会（CFIUS），该委员会审查外国投资的国家安全风险，以及外国资产控制办公室（OFAC），该办公室管理贸易和经济制裁计划。 他们还入侵了财政部金融研究办公室的系统，但此次事件的影响仍在评估中。 据信，Silk Typhoon 利用了对财政部 BeyondTrust 实例的访问权限，窃取了“与潜在制裁行动和其他文件有关的非机密信息”。 12 月 19 日，CISA 将 CVE-2024-12356 漏洞添加到其已知被利用漏洞目录中，要求美国联邦机构在一周内保护其网络免受持续攻击。该网络安全机构还于 1 月 13 日下令联邦机构修补其系统以防范 CVE-2024-12686 漏洞。 PostgreSQL 零日漏洞与 BeyondTrust 被攻破事件有关 在分析 CVE-2024-12356 时，Rapid7 团队发现 PostgreSQL 中一个新的零日漏洞（CVE-2025-1094），该漏洞于 1 月 27 日报告，并在周四修补。CVE-2025-1094 允许在 PostgreSQL 交互工具读取不受信任的输入时进行 SQL 注入，因为它错误地处理了无效 UTF-8 字符的特定无效字节序列。 “PostgreSQL libpq 函数 PQescapeLiteral()、PQescapeIdentifier()、PQescapeString() 和 PQescapeStringConn() 中的引用语法中和不当处理，允许数据库输入提供者在某些使用模式下实现 SQL 注入，”PostgreSQL 安全团队解释道。 “具体来说，SQL 注入需要应用程序使用函数结果来构建 psql 的输入，即 PostgreSQL 交互终端。同样，当 client_encoding 为 BIG5 且 server_encoding 为 EUC_TW 或 MULE_INTERNAL 时，PostgreSQL 命令行实用程序程序中引用语法的不当处理允许命令行参数来源实现 SQL 注入。” Rapid7 的测试表明，成功利用 CVE-2024-12356 实现远程代码执行需要使用 CVE-2025-1094，这表明与 BeyondTrust RS CVE-2024-12356 相关的漏洞利用依赖于对 PostgreSQL CVE-2025-1094 的利用。 此外，尽管 BeyondTrust 表示 CVE-2024-12356 是一个命令注入漏洞（CWE-77），但 Rapid7 认为将其更准确地归类为参数注入漏洞（CWE-88）。 Rapid7 安全研究人员还发现了一种方法，可以独立于 CVE-2024-12356 参数注入漏洞，在易受攻击的 BeyondTrust 远程支持（RS）系统中利用 CVE-2025-1094 实现远程代码执行。 更重要的是，他们发现虽然 BeyondTrust 对 CVE-2024-12356 的修补程序没有解决 CVE-2025-1094 的根本原因，但它成功地防止了这两个漏洞的利用。 “我们还了解到，可以在 BeyondTrust 远程支持中利用 CVE-2025-1094，而无需利用 CVE-2024-12356，”Rapid7 表示。“然而，由于 CVE-2024-12356 修补程序采用了一些额外的输入消毒措施，利用仍然会失败。”   消息来源：Bleeping Computer；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文