Passa ai contenuti principali

PostgreSQL, grave falla di code injection in pg_dump e utilità di backup (CVE-2025-8714/CVE-2025-8715)

Negli ultimi giorni la community di PostgreSQL ha pubblicato un security advisory che segnala due vulnerabilità critiche appena corrette, catalogate come CVE-2025-8714 e CVE-2025-8715. L’impatto è rilevante perché non riguarda il server in sé ma gli strumenti di backup e ripristino, componenti fondamentali nella gestione quotidiana di qualsiasi database. Le versioni affette includono tutte quelle fino a 17.5 compresa, mentre le patch sono state rilasciate con le nuove release 17.6, 16.10, 15.14, 14.19 e 13.22.

Il problema principale è una possibilità di code injection durante le operazioni di restore. Un dump SQL creato da pg_dump o pg_dumpall può contenere meta-comandi psql come \!, che normalmente permettono l’esecuzione di comandi di shell. Questi comandi, se incorporati da un attaccante all’interno di nomi di oggetti del database, non venivano adeguatamente sanitizzati e al momento del ripristino venivano interpretati dal client. Il risultato è l’esecuzione arbitraria di comandi sul sistema operativo con i privilegi dell’utente che lancia il restore. In uno scenario reale, un amministratore che esegue un backup di un database compromesso e poi lo ripristina su un nuovo sistema può inconsapevolmente eseguire codice malevolo sul proprio ambiente. Il secondo bug, legato all’uso di sequenze CRLF all’interno dei nomi, ha lo stesso effetto: iniettare linee aggiuntive che il parser di psql interpreta come comandi validi.

La criticità di queste falle sta nel fatto che il vettore d’attacco non richiede accesso diretto al server da parte dell’attaccante. È sufficiente distribuire un dump infetto, magari spacciato per un database condiviso o inviato come parte di procedure interne di test e migrazione. Poiché strumenti come pg_restore e pg_upgrade vengono usati regolarmente in contesti di alta fiducia, la superficie di attacco è ampia e spesso sottovalutata. In pratica, un’operazione che dovrebbe aumentare la resilienza — il backup — può trasformarsi nel punto di ingresso per compromettere un’intera infrastruttura.

Le patch rilasciate correggono la sanitizzazione dei meta-comandi, impedendo che possano essere interpretati in maniera non intenzionale. Chi utilizza versioni di PostgreSQL ancora supportate deve aggiornare immediatamente, senza differire, perché la finestra di exploit è già aperta e la tecnica di attacco è stata documentata pubblicamente. È anche consigliabile validare con attenzione i dump ricevuti da fonti non completamente affidabili ed evitare di lanciare restore con privilegi amministrativi non strettamente necessari.

Questa vicenda ricorda ancora una volta che la sicurezza non riguarda soltanto i processi in ascolto su una porta di rete, ma l’intero ecosistema di strumenti, utility e procedure che orbitano intorno a un database. In un’epoca in cui le supply chain di software e dati rappresentano il bersaglio principale degli attaccanti, perfino un file di backup può diventare un’arma di compromissione. PostgreSQL rimane un progetto solido e maturo, ma il rilascio del 14 agosto 2025 segna una data che gli amministratori non possono ignorare: aggiornare subito è l’unico modo per non trasformare un’operazione di routine in un disastro di sicurezza.
Tag:

Commenti

Posta un commento

Popolari

Attenzione all’Android Spyware che si spaccia per Signal

Negli ultimi mesi i ricercatori di sicurezza hanno scoperto campagne di spyware per Android che si travestono da versioni potenziate di applicazioni di messaggistica come Signal o ToTok, con l’obiettivo di ingannare gli utenti e ottenere il pieno controllo dei loro dispositivi. Due delle famiglie più attive sono state identificate come ProSpy e ToSpy e colpiscono in particolare nei Paesi del Golfo, con focus sul Medio Oriente e sugli Emirati Arabi Uniti. Queste app malevole non si trovano sugli store ufficiali ma vengono distribuite tramite siti creati ad arte che imitano plugin o release legittime con nomi come “Signal Encryption Plugin” o “ToTok Pro”. Una volta installate, richiedono permessi invasivi come l’accesso a contatti, SMS e file multimediali ed esfiltrano i dati silenziosamente. Per rafforzare l’illusione di autenticità, dopo la prima interazione l’utente viene spesso reindirizzato al sito ufficiale o all’app originale, mentre in altri casi l’icona del malware si maschera d...
Posta un commento
Continua a leggere »

Microsoft revoca l’accesso del suo cloud all’intelligence israeliana

Microsoft ha annunciato di aver cessato e disabilitato una serie di servizi cloud e di intelligenza artificiale per un’unità del Ministero della Difesa israeliano (IMOD), dopo aver accertato che tali tecnologie erano state impiegate per sostenere un sistema di sorveglianza di massa sui civili palestinesi.  L’azione dell’azienda è stata attivata in risposta a un’inchiesta giornalistica coordinata dal Guardian, +972 Magazine e Local Call, che ha rivelato come l’Unità 8200 dell’intelligence israeliana avesse archiviato e analizzato milioni di telefonate intercettate tramite la piattaforma Azure, con il fine di monitorare gli spostamenti e guidare operazioni militari nella Striscia di Gaza e in Cisgiordania.  Nel comunicato interno rivolto ai dipendenti, il vicepresidente Brad Smith ha dichiarato che Microsoft non fornisce tecnologie che facilitino la sorveglianza di massa dei civili e che, dopo un’analisi interna, sono emersi elementi che violavano i termini di servizio dell’azie...
Posta un commento
Continua a leggere »

Oyster e il malvertising, fake installer di Microsoft Teams diffonde una backdoor

Negli ultimi giorni è emersa una nuova ondata di malvertising e SEO poisoning che punta a intercettare chi cerca il client Microsoft Teams sui motori di ricerca, reindirizzando gli utenti verso annunci o pagine di download fasulle che offrono un installatore contraffatto invece dell’app ufficiale. Secondo le prime segnalazioni, il file distribuito in queste pagine malevole è un installer camuffato che installa la backdoor nota come Oyster (anche indicata in passato come Broomstick/CleanUpLoader), dando agli aggressori un punto d’accesso remoto sui sistemi compromessi. A confermare la dinamica sono multiple realtà che monitorano la minaccia: Blackpoint SOC ha descritto la campagna come basata su SEO poisoning e annunci malvertising che spingono download ingannevoli, mentre analisti di settore e vendor hanno trovato varianti del loader ospitate su domini compromessi o su pagine generate appositamente per mimare download legittimi. Il malware viene spesso confezionato in installer Windows...
Posta un commento
Continua a leggere »