Две 0Day позволили китайским хакерам взломать Минфин

В 2023 году хакеры использовали уязвимость в базе данных PostgreSQL, чтобы атаковать компанию BeyondTrust, которая занимается защитой привилегированного доступа. По данным Rapid7, злоумышленники использовали две Zero-Day уязвимости (CVE-2024-12356 и CVE-2024-12686), а также украденный API-ключ, чтобы проникнуть в систему BeyondTrust и 17 сервисов удаленной поддержки.

В январе 2025 года Минфин США сообщил , что сеть ведомства тоже подверглась атаке. Хакеры использовали украденный API-ключ, чтобы получить доступ к системе BeyondTrust. Позже выяснилось, что за атакой стоит китайская хакерская группа Silk Typhoon, которая известна своими шпионскими кампаниями и раньше уже взламывала десятки тысяч серверов по всему миру.

Основные цели атаки — Комитет по иностранным инвестициям в США (CFIUS) и Управление по контролю за иностранными активами (OFAC). Оба ведомства работают с санкциями и проверяют инвестиции с точки зрения безопасности страны. Хакеры также проникли в Управление финансовых исследований, но пока неизвестно, какие именно данные украли. По предварительным данным, киберпреступники могли получить информацию о возможных санкциях и других важных решениях.

В декабре 2024 года CISA добавило CVE-2024-12356 в свой каталог KEV и обязало госструктуры устранить ошибку в течение недели. В январе похожие меры были приняты и для уязвимости CVE-2024-12686 .

Специалисты Rapid7 обнаружили , что для успешного взлома CVE-2024-12356 хакеры использовали ещё одну уязвимость — CVE-2025-1094 (оценка CVSS: 8.1) в PostgreSQL, которая позволяет внедрять вредоносные команды при обработке некорректных данных. Недостаток обнаружили 27 января и исправили только в феврале.

Во время анализа уязвимости специалисты Rapid7 смогли выполнить код на сервере BeyondTrust RS без необходимости использования CVE-2024-12356. Это означает, что даже после установки исправления от BeyondTrust, угроза эксплуатации CVE-2025-1094 в PostgreSQL остаётся, если база данных не обновлена. Однако выпущенное обновление блокирует атаки, предотвращая использование вредоносных символов в уязвимом коде.

Также специалисты уточнили, что BeyondTrust изначально неправильно классифицировала уязвимость CVE-2024-12356. Компания назвала её уязвимостью внедрения команд (CWE-77), но правильнее было бы сказать, что это инъекция аргументов (CWE-88). В ходе анализа исправления исследователи обнаружили механизмы защиты, включающие новые методы очистки входных данных. Однако CVE-2025-1094 остаётся нерешённой проблемой, и PostgreSQL планирует выпустить обновление для устранения уязвимости.

Специалисты рекомендуют администраторам BeyondTrust PRA и RS срочно установить исправление BT24-10-ONPREM1 или BT24-10-ONPREM2.