آسیب ‌پذیری CVE-2025-1094 در PostgreSQL اکسپلویت شد!

هکرهایی که در دسامبر ۲۰۲۴ از یک آسیب ‌پذیری روز صفر (CVE-2024-12356) در محصولات Privileged  Remote Access (PRA) و Remote Support (RS) شرکت BeyondTrust سوءاستفاده کرده بودند، به احتمال زیاد یک آسیب ‌پذیری SQL Injection در PostgreSQL را نیز مورد بهره‌برداری قرار داده‌اند. این مسئله توسط شرکت امنیتی Rapid7 کشف شده است.

آسیب‌ پذیری CVE-2024-12356 به مهاجمان اجازه می‌دهد تا بدون نیاز به احراز هویت، دستورات سیستم‌عامل را به‌عنوان کاربر سایت اجرا و به‌طور غیرمجاز به سیستم‌ها و داده‌ها دسترسی پیدا کنند.

جزئیات آسیب ‌پذیری  PostgreSQL (CVE-2025-1094)

آسیب ‌پذیری SQL Injection مورد نظر که با شناسه CVE-2025-1094  دنبال می‌شود، دارای امتیاز CVSS 8.1 بوده و ابزار تعاملی psql را در PostgreSQL تحت تأثیر قرار می‌دهد.

این آسیب ‌پذیری ناشی از نحوه پردازش کاراکترهای نامعتبر UTF-8 در PostgreSQL است. این باگ به مهاجمان امکان می‌دهد تا حمله SQL Injection  را از طریق یک دستور شورتکات “!\” انجام دهند، که برای اجرای دستورات Shell مورد استفاده قرار می‌گیرد.

بر اساس توضیحات استفان فیور، محقق امنیتی، این آسیب پذیری به مهاجم اجازه می‌دهد تا از طریق حمله SQL Injection ، کنترل اجرای کد در سیستم قربانی را به دست بگیرد. این امر از طریق قابلیت ابزار تعاملی psql  برای اجرای meta-commands (متا-دستورات) امکان‌پذیر است. به زبان ساده، یک مهاجم می‌تواند از این آسیب ‌پذیری برای اجرای دستورات مخرب بر روی سرور PostgreSQL سوء استفاده کند که به دسترسی غیرمجاز، تغییر یا سرقت داده‌ها و حتی کنترل کامل سرور منجر خواهد شد.

تیم توسعه ‌دهنده PostgreSQL یک به‌ روزرسانی برای پچ این آسیب پذیری منتشر کرده که در نسخه‌های زیر اعمال شده است:

• PostgreSQL 17 (پچ شده در نسخه ۱۷.۳)
• PostgreSQL 16 (پچ شده در نسخه ۱۶.۷)
• PostgreSQL 15 (پچ شده در نسخه ۱۵.۱۱)
• PostgreSQL 14 (پچ شده در نسخه ۱۴.۱۶)
• PostgreSQL 13 (پچ شده در نسخه ۱۳.۱۹)

نحوه اکسپلویت آسیب‌ پذیری

گزارش‌های منتشرشده حاکی از آن است که مهاجمان ابتدا با سوءاستفاده از یک آسیب ‌پذیری روز صفر  (CVE-2024-12356) در محصولات BeyondTrust توانستند به شبکه‌های هدف دسترسی پیدا کنند. آن‌ها سپس، از آسیب ‌پذیری SQL Injection در PostgreSQL برای افزایش سطح دسترسی و اجرای کد مخرب سوء استفاده کردند.

این نوع حمله نشان ‌دهنده یک زنجیره اکسپلویت است که در آن، مهاجمان ابتدا از یک نقطه ورود اولیه (آسیب ‌پذیری در BeyondTrust) استفاده کرده و سپس با بهره‌برداری از آسیب ‌پذیری‌های دیگر (CVE-2025-1094 در PostgreSQL) دسترسی خود را افزایش داده‌اند. این تکنیک معمولاً در حملات هدفمند پیشرفته مشاهده می‌شود که توسط گروه‌های تهدید APT مورد استفاده قرار می‌گیرند.

خطرات و توصیه‌های امنیتی

با توجه به این که آسیب ‌پذیری CVE-2025-1094 می‌تواند به اجرای کد از راه دور (RCE) منجر شود، سازمان‌هایی که از PostgreSQL استفاده می‌کنند، می‌بایست هر چه سریع‌تر اقدامات زیر را به انجام رسانند:

• بروزرسانی  PostgreSQL: بررسی و نصب آخرین پچ‌های امنیتی برای جلوگیری از اکسپلویت آسیب پذیری توسط هکرها.
• بررسی تنظیمات دسترسی: محدود کردن دسترسی کاربران به پایگاه داده و ابزار psql  برای جلوگیری از حملات احتمالی.
• نظارت بر لاگ‌های امنیتی: تحلیل لاگ‌های سیستم برای شناسایی فعالیت‌های مشکوک.
• اجرای مکانیزم‌های محافظتی: استفاده از WAF ( فایروال‌های اپلیکیشن وب) و سایر ابزارهای امنیتی برای شناسایی و جلوگیری از حملات SQL Injection.

سخن پایانی

این حمله نشان دهنده آن است که هکرها از ترکیب چندین آسیب ‌پذیری برای دستیابی به اهداف خود استفاده می‌کنند. اکسپلویت یک آسیب ‌پذیری در BeyondTrust به عنوان نقطه ورود اولیه و سپس سوءاستفاده از PostgreSQL برای افزایش سطح دسترسی، نشان ‌دهنده پیچیدگی حملات سایبری جدید است.

به همین دلیل، سازمان‌ها می‌بایست رویکردی چندلایه در دفاع سایبری اتخاذ کنند و همواره دریافت به موقع به‌روزرسانی‌ها و پچ‌های امنیتی را در دستور کار خود قرار دهند تا از چنین حملاتی در امان بمانند.

منابع