10年前に潜むPostgreSQLのゼロデイ脆弱性により、米国財務省がハッキングされる
2025-03-17
米国財務省は、約10年前から存在していたPostgreSQLのSQLインジェクションの脆弱性を突いたデータ侵害を受けました。この攻撃は単純なSQLインジェクションではなく、PostgreSQL内部の文字列エスケープメソッドの出力をpsqlコマンドラインツールに直接入力することで行われました。攻撃者は`c0 27`という2バイトを使用して、Beyond TrustのPAMツールとpg_escape_string関数を回避し、psqlの完全制御を取得して、任意のシステムコマンドを実行しました。これは、厳格に精査されたオープンソースプロジェクトであっても、微妙で長期間存在する脆弱性が深刻なセキュリティ侵害につながる可能性があることを示しています。
テクノロジー
PostgreSQL脆弱性