ทีมวิจัยช่องโหว่ด้านความปลอดภัยของ Rapid7 เปิดเผยว่าผู้โจมตีใช้ประโยชน์จากช่องโหว่ใน PostgreSQL เป็นการโจมตีแบบ Zero-day เพื่อเจาะระบบของ BeyondTrust บริษัทผู้ให้บริการด้านการจัดการการเข้าถึงระดับสูง (Privileged Access Management – PAM) ในเดือนธันวาคมที่ผ่านมา
BeyondTrust รายงานว่าในช่วงต้นเดือนธันวาคม ผู้โจมตีสามารถเจาะระบบของบริษัทและเข้าถึง 17 อินสแตนซ์ของบริการ Remote Support SaaS โดยอาศัยช่องโหว่ Zero-day สองรายการ (CVE-2024-12356 และ CVE-2024-12686) รวมถึงกุญแจ API ที่ถูกขโมย
จากนั้นไม่นาน โดยในเดือนมกราคม กระทรวงการคลังของสหรัฐฯ (U.S. Treasury Department) ได้เปิดเผยว่าถูกเจาะระบบ โดยกลุ่มภัยคุกคามใช้ กุญแจ API ของบริการ Remote Support SaaS ที่ถูกขโมย เพื่อละเมิดระบบ BeyondTrust ของหน่วยงานอีกด้วย
ขณะตรวจสอบ CVE-2024-12356 ทีมวิจัยของ Rapid7 พบช่องโหว่ Zero-day ใหม่ใน PostgreSQL (CVE-2025-1094) ซึ่งถูกเปิดเผยเมื่อวันที่ 27 มกราคม และได้รับการแก้ไขเมื่อวันพฤหัสบดีที่ผ่านมา
ช่องโหว่ CVE-2025-1094 เปิดโอกาสให้เกิดการโจมตีแบบ SQL Injection เมื่อเครื่องมือโต้ตอบของ PostgreSQL อ่านข้อมูลอินพุตที่ไม่น่าเชื่อถือ เนื่องจากการประมวลผลลำดับไบต์ที่ไม่ถูกต้องจากอักขระ UTF-8 ที่ผิดรูปแบบ
ทีมรักษาความปลอดภัยของ PostgreSQL อธิบายว่า ปัญหานี้เกิดจากการ quoting syntax ในฟังก์ชัน libpq ไม่เหมาะสม โดยเฉพาะในฟังก์ชัน PQescapeLiteral(), PQescapeIdentifier(), PQescapeString() และ PQescapeStringConn() ซึ่งอาจเปิดช่องให้ผู้โจมตีใช้เทคนิค SQL Injection ในบางกรณีได้
รายละเอียดเพิ่มเติมที่นี่ – BPC
