PostgreSQLにあるSQLインジェクションの脆弱性が9年以上発見されずアメリカ財務省への侵入に使用されてしまう

2024年12月30日、「中国政府が支援する高度で持続的な脅威攻撃者」がアメリカ財務省の機密データを管理するシステムを侵害しました。この侵入にはPostgreSQLに9年以上存在していたのに誰も気付いていなかったSQLインジェクションの脆弱(ぜいじゃく)性が使用されたことが判明しており、ソフトウェアエンジニアのニック・アグリアーノ氏が記事にまとめています。 Hidden Messages in Emojis and Hacking the US Treasury https://slamdunksoftware.substack.com/p/hidden-messages-in-emojis-and-hacking SQLインジェクションは多くのセキュリティの教科書の冒頭に載っているような非常に有名な攻撃手法で、SQLインジェクションを通して攻撃者はSQL文を書き換えられるためシステムに重

[fashi]

PHPの脆弱性では？と思ったらlibpqの脆弱性

[Goldenduck]

十分な目があれば安全が確保できるというのがオープンソースというものだが、誰かが見てるからヨシの現場猫精神でフリーライドしまくってるのであまりあてにならない

[suikyojin]

「誰かがチェックしているはず」は、皆がそう思うと、誰もチェックしないことになる。共同責任は共同無責任となる。粗探しの目もセキュリティの観点からは必要ということ。

[koyhoge]

PDOの場合はどうだろうと調べたら、pdo_pgsqlはPQescapeStringConn()を呼び出しており、これが内部でPQescapeStringInternal()呼んでいるので、libpqをアップデートしないと影響がある。

[wkwkhautbois]

静的プレースホルダー(PreparedStatement)なら先に実行計画立てるからSQL Injectionは原理的に大丈夫 と思ってるんだけど、なんか気持ちは怖くなるね

[prograti]

詳細な分析記事 https://attackerkb.com/topics/G5s8ZWAbYH/cve-2024-12356/rapid7-analysis

[hom_functor]

UTF-8の冗長性に起因するよくあるチェック漏れ。エスケープはたとえ公式提供でも筋悪だな

[Sampo]

UTF-8デコードが寛容すぎたのね。本来は同じ文字を複数のバイト表現で表記できてしまうのを避ける仕様があるんだけどバリデーションが弱くて「'」に別表現が可能になっていたと。これはそう簡単には気付けないですわ

[mas-higa]

アプリの SQL injection は警戒するけど、DBMS 側は盲点だな。MBCS に不慣れな人が Unicode 対応のコード書くの怖い。

[deep_one]

たいていのセキュリティー対策文書では「サニタイズはやばいからプレースホルダを使いなさい」と言われている。／UTFがらみか。ややこしいからな。

[kadzuya]

エスケープが信頼できないの分かる。でもクライアントサイドでprepared statementを実装してるライブラリたちも信用できない…

[nippondanji]

巨大なソフトウェアはデバッグ大変なんだよ。

[xlc]

SQLインジェクションってアプリ側の問題では？と思ったらエスケープ用の関数にバグがあったという話？できる限りプレースホルダーを使おう。

[defiant]

この記事をおすすめしました

[FreeCatWork]

9年以上も… 見つからなかったなんて！ びっくりにゃ！

[hatebu_admin]

プレースホルダを使えとIPAの安全なウェブサイトの作り方にも書いてある https://www.ipa.go.jp/security/vuln/websecurity/sql.html

[circled]

脆弱性見つけても報告面倒だからしないってのもありなわけで、下手すると墓場まで持ってくかも知れない。bashのシェルショックの時も、これ一体どれだけ昔からあったんだ？と思ったし

[raitu]

“攻撃者はSQLインジェクションによってPostgreSQLに付属する対話型インターフェースであるpsqlを自由に使用できるようになり、データベースへのアクセスだけでなくpsqlを経由して任意のシステムコマンドを入力可能に”

[at_yasu]

ありゃま

[okinawazenzai]

こういうのあるから、やっぱりO/Rマッパー使った方が良いんかなーって思っちゃう。バインド変数になるだろうし、というかこの手のPHPプログラム結構残ってそうだよね。4とか5あたりなんだろうか？

[mohno]

サニタイズ？

[KoshianX]

えーこんなのあったのか。PQescapeStringInternal の問題で主に `src/interfaces/libpq/fe-exec.c` の修正で対応した模様。PHP側もそこは信頼して使ってたんだろうなあ

[lainof]

古いシステムなのか？今はエスケープしてSQLを組み立てようとはしないよね？PHPは違うの？

[poliphilus]

ほおー 0xC027… よー考えるな。

[earu]

アメリカ財務省のシステムがPHPなのが意外。バグはlibpqのものみたいだからLL言語系は割と対象になるのかな？

[hogetax]

ん？PHPとPostgreSQLのどっちに問題があったんだ？...ぶこめサンキュ♡

[n2sz]

ポスグレレベルでもこんな障害残ってるんだなあ

[otation]

psql経由で流した時の脆弱性ってことかな。先頭ビットを変えるだけでいいなら、世の中のシステムの大半に脆弱性がありそうだけど

[versatile]

なんつー原始的なバグだ

[hamamuratakuo]

"ただの「'」はエスケープ処理が入るものの、先頭にビットを追加して2バイト文字にするとエスケープ処理をスキップできてしまっていたというわけです。"