Bij aanvallen op klanten van securitybedrijf BeyondTrust gebruikten de aanvallers ook een beveiligingslek in PostgreSQL, zo laat securitybedrijf Rapid7 weten. Afgelopen december meldde BeyondTrust dat aanvallers hadden ingebroken op de Remote Support SaaS instances van klanten. BeyondTrust biedt Privileged Access Management (PAM) oplossingen en software voor remote support waar bijvoorbeeld helpdesks gebruik van kunnen maken.

Tijdens het onderzoek naar de aanvallen ontdekte BeyondTrust naar eigen zeggen twee kwetsbaarheden in zowel de zelf-gehoste als cloudversie van Remote Support en Privileged Remote Access. Vervolgens bracht het bedrijf updates uit. Klanten met een zelf-gehoste installatie moesten die zelf installeren. Het gaat onder andere om een kritiek beveiligingslek aangeduid als CVE-2024-12356 dat command injection mogelijk maakt. Daardoor kan een ongeauthenticeerde aanvaller commando's op het systeem uitvoeren. De impact is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. Onder andere het Amerikaanse ministerie van Financiën werd slachtoffer van de aanvallen.

Bij het onderzoek naar het misbruik van CVE-2024-12356 ontdekte securitybedrijf Rapid7 dat de aanvallers ook een kwetsbaarheid in de PostgreSQL-tool psql gebruikten, aangeduid als CVE-2025-1094. PostgreSQL is een relational database management system. Psql is een terminal-gebaseerde front-end voor PostgreSQL. Via het beveiligingslek is SQL-injection mogelijk wat kan leiden tot het uitvoeren van willekeurige code door de aanvaller.

Waar BeyondTrust de kwetsbaarheid afgelopen december dichtte, bleef het probleem in PostgreSQL bestaan. Rapid7 waarschuwde de ontwikkelaars van PostgreSQL op 27 januari over het gevonden probleem, waarna gisteren updates verschenen die de kwetsbaarheid verhelpen.