ในเดือนธันวาคมที่ผ่านมา ทีมวิจัยช่องโหว่ของ Rapid7 พบว่ามีการใช้ช่องโหว่ใน PostgreSQL เพื่อเจาะระบบของบริษัท BeyondTrust ที่ให้บริการการจัดการการเข้าถึงที่มีสิทธิ์พิเศษ รายงานระบุว่าแฮกเกอร์ใช้ช่องโหว่สองตัว (CVE-2024-12356 และ CVE-2024-12686) และคีย์ API ที่ถูกขโมยมาในการโจมตีครั้งนี้
เพียงหนึ่งเดือนหลังจากนั้น กระทรวงการคลังสหรัฐอเมริกาเผยว่าระบบของตนถูกแฮกเกอร์ที่ใช้คีย์ API ที่ถูกขโมยไปจาก BeyondTrust โจมตี ทำให้เกิดการเชื่อมโยงเหตุการณ์นี้กับกลุ่มแฮกเกอร์ที่สนับสนุนโดยรัฐจีนที่รู้จักกันในชื่อ Silk Typhoon ซึ่งมีความเชี่ยวชาญในการสอดแนมและขโมยข้อมูล
Silk Typhoon เจาะระบบของหน่วยงานในกระทรวงการคลัง เช่น คณะกรรมการว่าด้วยการลงทุนต่างประเทศในสหรัฐอเมริกา (CFIUS) และสำนักงานควบคุมทรัพย์สินต่างประเทศ (OFAC) เพื่อขโมยข้อมูลเกี่ยวกับการลงโทษและเอกสารอื่นๆ ที่เกี่ยวข้องกับความมั่นคงแห่งชาติ
ในเดือนมกราคม 2024 หน่วยงาน CISA ได้เพิ่มช่องโหว่ CVE-2024-12356 ลงในแคตาล็อกช่องโหว่ที่ถูกใช้โจมตีและกำหนดให้หน่วยงานของรัฐบาลกลางสหรัฐอเมริกาต้องป้องกันระบบของตนจากการโจมตีที่กำลังเกิดขึ้นภายในหนึ่งสัปดาห์ นอกจากนี้ยังสั่งให้หน่วยงานของรัฐบาลกลางติดตั้งแพตช์สำหรับช่องโหว่ CVE-2024-12686 ในเดือนมกราคม 2025
ช่องโหว่ zero-day ในนาม CVE-2025-1094 ถูกพบใน PostgreSQL เมื่อเดือนมกราคม 2025 และได้รับการแพตช์ในเดือนกุมภาพันธ์ โดยช่องโหว่นี้เกิดจากการจัดการที่ไม่ถูกต้องของลำดับไบต์ที่ไม่ถูกต้องในอักขระ UTF-8 ทำให้สามารถใช้ SQL injection เพื่อเข้าถึงระบบได้
การใช้ช่องโหว่ CVE-2024-12356 ในการโจมตีระบบ BeyondTrust ยังต้องการการใช้ช่องโหว่ CVE-2025-1094 ซึ่งช่วยให้สามารถรันโค้ดจากระยะไกลได้ นักวิจัยจาก Rapid7 ยังพบว่าแม้ว่า BeyondTrust จะมีการแพตช์ CVE-2024-12356 แต่ก็ยังไม่สามารถแก้ไขสาเหตุหลักของ CVE-2025-1094 ได้ อย่างไรก็ตาม การแพตช์นี้ทำให้การโจมตีทั้งสองช่องโหว่ล้มเหลว
https://www.bleepingcomputer.com/news/security/postgresql-flaw-exploited-as-zero-day-in-beyondtrust-breach/
เพียงหนึ่งเดือนหลังจากนั้น กระทรวงการคลังสหรัฐอเมริกาเผยว่าระบบของตนถูกแฮกเกอร์ที่ใช้คีย์ API ที่ถูกขโมยไปจาก BeyondTrust โจมตี ทำให้เกิดการเชื่อมโยงเหตุการณ์นี้กับกลุ่มแฮกเกอร์ที่สนับสนุนโดยรัฐจีนที่รู้จักกันในชื่อ Silk Typhoon ซึ่งมีความเชี่ยวชาญในการสอดแนมและขโมยข้อมูล
Silk Typhoon เจาะระบบของหน่วยงานในกระทรวงการคลัง เช่น คณะกรรมการว่าด้วยการลงทุนต่างประเทศในสหรัฐอเมริกา (CFIUS) และสำนักงานควบคุมทรัพย์สินต่างประเทศ (OFAC) เพื่อขโมยข้อมูลเกี่ยวกับการลงโทษและเอกสารอื่นๆ ที่เกี่ยวข้องกับความมั่นคงแห่งชาติ
ในเดือนมกราคม 2024 หน่วยงาน CISA ได้เพิ่มช่องโหว่ CVE-2024-12356 ลงในแคตาล็อกช่องโหว่ที่ถูกใช้โจมตีและกำหนดให้หน่วยงานของรัฐบาลกลางสหรัฐอเมริกาต้องป้องกันระบบของตนจากการโจมตีที่กำลังเกิดขึ้นภายในหนึ่งสัปดาห์ นอกจากนี้ยังสั่งให้หน่วยงานของรัฐบาลกลางติดตั้งแพตช์สำหรับช่องโหว่ CVE-2024-12686 ในเดือนมกราคม 2025
ช่องโหว่ zero-day ในนาม CVE-2025-1094 ถูกพบใน PostgreSQL เมื่อเดือนมกราคม 2025 และได้รับการแพตช์ในเดือนกุมภาพันธ์ โดยช่องโหว่นี้เกิดจากการจัดการที่ไม่ถูกต้องของลำดับไบต์ที่ไม่ถูกต้องในอักขระ UTF-8 ทำให้สามารถใช้ SQL injection เพื่อเข้าถึงระบบได้
การใช้ช่องโหว่ CVE-2024-12356 ในการโจมตีระบบ BeyondTrust ยังต้องการการใช้ช่องโหว่ CVE-2025-1094 ซึ่งช่วยให้สามารถรันโค้ดจากระยะไกลได้ นักวิจัยจาก Rapid7 ยังพบว่าแม้ว่า BeyondTrust จะมีการแพตช์ CVE-2024-12356 แต่ก็ยังไม่สามารถแก้ไขสาเหตุหลักของ CVE-2025-1094 ได้ อย่างไรก็ตาม การแพตช์นี้ทำให้การโจมตีทั้งสองช่องโหว่ล้มเหลว
https://www.bleepingcomputer.com/news/security/postgresql-flaw-exploited-as-zero-day-in-beyondtrust-breach/
ในเดือนธันวาคมที่ผ่านมา ทีมวิจัยช่องโหว่ของ Rapid7 พบว่ามีการใช้ช่องโหว่ใน PostgreSQL เพื่อเจาะระบบของบริษัท BeyondTrust ที่ให้บริการการจัดการการเข้าถึงที่มีสิทธิ์พิเศษ รายงานระบุว่าแฮกเกอร์ใช้ช่องโหว่สองตัว (CVE-2024-12356 และ CVE-2024-12686) และคีย์ API ที่ถูกขโมยมาในการโจมตีครั้งนี้
เพียงหนึ่งเดือนหลังจากนั้น กระทรวงการคลังสหรัฐอเมริกาเผยว่าระบบของตนถูกแฮกเกอร์ที่ใช้คีย์ API ที่ถูกขโมยไปจาก BeyondTrust โจมตี ทำให้เกิดการเชื่อมโยงเหตุการณ์นี้กับกลุ่มแฮกเกอร์ที่สนับสนุนโดยรัฐจีนที่รู้จักกันในชื่อ Silk Typhoon ซึ่งมีความเชี่ยวชาญในการสอดแนมและขโมยข้อมูล
Silk Typhoon เจาะระบบของหน่วยงานในกระทรวงการคลัง เช่น คณะกรรมการว่าด้วยการลงทุนต่างประเทศในสหรัฐอเมริกา (CFIUS) และสำนักงานควบคุมทรัพย์สินต่างประเทศ (OFAC) เพื่อขโมยข้อมูลเกี่ยวกับการลงโทษและเอกสารอื่นๆ ที่เกี่ยวข้องกับความมั่นคงแห่งชาติ
ในเดือนมกราคม 2024 หน่วยงาน CISA ได้เพิ่มช่องโหว่ CVE-2024-12356 ลงในแคตาล็อกช่องโหว่ที่ถูกใช้โจมตีและกำหนดให้หน่วยงานของรัฐบาลกลางสหรัฐอเมริกาต้องป้องกันระบบของตนจากการโจมตีที่กำลังเกิดขึ้นภายในหนึ่งสัปดาห์ นอกจากนี้ยังสั่งให้หน่วยงานของรัฐบาลกลางติดตั้งแพตช์สำหรับช่องโหว่ CVE-2024-12686 ในเดือนมกราคม 2025
ช่องโหว่ zero-day ในนาม CVE-2025-1094 ถูกพบใน PostgreSQL เมื่อเดือนมกราคม 2025 และได้รับการแพตช์ในเดือนกุมภาพันธ์ โดยช่องโหว่นี้เกิดจากการจัดการที่ไม่ถูกต้องของลำดับไบต์ที่ไม่ถูกต้องในอักขระ UTF-8 ทำให้สามารถใช้ SQL injection เพื่อเข้าถึงระบบได้
การใช้ช่องโหว่ CVE-2024-12356 ในการโจมตีระบบ BeyondTrust ยังต้องการการใช้ช่องโหว่ CVE-2025-1094 ซึ่งช่วยให้สามารถรันโค้ดจากระยะไกลได้ นักวิจัยจาก Rapid7 ยังพบว่าแม้ว่า BeyondTrust จะมีการแพตช์ CVE-2024-12356 แต่ก็ยังไม่สามารถแก้ไขสาเหตุหลักของ CVE-2025-1094 ได้ อย่างไรก็ตาม การแพตช์นี้ทำให้การโจมตีทั้งสองช่องโหว่ล้มเหลว
https://www.bleepingcomputer.com/news/security/postgresql-flaw-exploited-as-zero-day-in-beyondtrust-breach/
English