Dos 0Day permitieron a hackers chinos atacar el Ministerio de Finanzas

En 2023, hackers explotaron una vulnerabilidad en la base de datos PostgreSQL para atacar a la empresa BeyondTrust, especializada en la protección del acceso privilegiado. Según Rapid7, los atacantes utilizaron dos vulnerabilidades Zero-Day (CVE-2024-12356 y CVE-2024-12686), además de una clave API robada, para infiltrarse en el sistema de BeyondTrust y en 17 servicios de soporte remoto.

En enero de 2025, el Departamento del Tesoro de EE. UU. informó que su red también fue atacada. Los hackers usaron la clave API robada para acceder al sistema de BeyondTrust. Posteriormente, se descubrió que el ataque fue llevado a cabo por el grupo chino Silk Typhoon, conocido por sus campañas de espionaje y por haber comprometido decenas de miles de servidores en todo el mundo.

Los principales objetivos del ataque fueron el Comité de Inversión Extranjera en EE. UU. (CFIUS) y la Oficina de Control de Activos Extranjeros (OFAC). Ambas agencias se encargan de la aplicación de sanciones y la supervisión de inversiones desde una perspectiva de seguridad nacional. Los hackers también accedieron a la Oficina de Investigación Financiera, aunque aún se desconoce qué datos fueron sustraídos. Según estimaciones preliminares, los ciberdelincuentes podrían haber obtenido información sobre posibles sanciones y otras decisiones estratégicas.

En diciembre de 2024, CISA incluyó la CVE-2024-12356 en su catálogo KEV y ordenó a las agencias gubernamentales corregir la vulnerabilidad en el plazo de una semana. En enero, se adoptaron medidas similares para la vulnerabilidad CVE-2024-12686 .

Los expertos de Rapid7 descubrieron que para explotar con éxito la CVE-2024-12356, los atacantes también utilizaron otra vulnerabilidad: CVE-2025-1094 (puntuación CVSS: 8.1) en PostgreSQL, que permite la ejecución de comandos maliciosos mediante la manipulación de datos incorrectos. Esta vulnerabilidad fue descubierta el 27 de enero y se corrigió en febrero.

Durante el análisis de la vulnerabilidad, los especialistas de Rapid7 lograron ejecutar código en el servidor BeyondTrust RS sin necesidad de explotar la CVE-2024-12356. Esto significa que incluso después de instalar el parche de BeyondTrust, la amenaza de explotación de la CVE-2025-1094 en PostgreSQL sigue presente si la base de datos no ha sido actualizada. Sin embargo, la actualización publicada bloquea los ataques impidiendo el uso de caracteres maliciosos en el código vulnerable.

Además, los investigadores señalaron que BeyondTrust clasificó incorrectamente la vulnerabilidad CVE-2024-12356. La compañía la describió como una vulnerabilidad de inyección de comandos (CWE-77), pero en realidad se trata de una inyección de argumentos (CWE-88). Durante el análisis del parche, los especialistas descubrieron nuevos mecanismos de protección que incluyen métodos mejorados de sanitización de datos de entrada. No obstante, la CVE-2025-1094 sigue siendo un problema sin resolver, y PostgreSQL planea lanzar una actualización para corregir la vulnerabilidad.

Los expertos recomiendan a los administradores de BeyondTrust PRA y RS que instalen de inmediato los parches BT24-10-ONPREM1 o BT24-10-ONPREM2.