Исследователи в области безопасности обнаружили уязвимости отказа в обслуживании (DoS) Cobalt Strike, которые позволяют блокировать каналы связи и управления сигналом маяка (C2) и новые развертывания.
Cobalt Strike — это законный инструмент для тестирования на проникновение, предназначенный для использования в качестве основы атаки красными командами (группами профессионалов в области безопасности, которые действуют как злоумышленники на инфраструктуру своей собственной организации, чтобы обнаружить бреши и уязвимости).
Тем не менее, Cobalt Strike также используется злоумышленниками (обычно используются во время атак программ-вымогателей) для задач после эксплуатации после развертывания так называемых маяков, которые обеспечивают им постоянный удаленный доступ к скомпрометированным устройствам.
Используя эти маяки, злоумышленники могут впоследствии получить доступ к взломанным серверам для сбора данных или развертывания вредоносных программ второго уровня.
Цели на инфраструктуру злоумышленников
SentinelLabs (группа по исследованию угроз в SentinelOne) обнаружила уязвимости DoS, коллективно отслеживаемые как CVE-2021-36798 (и получившие название Hotcobalt ) в последних версиях сервера Cobalt Strike.
Как они обнаружили, поддельные маяки можно зарегистрировать на сервере конкретной установки Cobalt Strike. Отправляя фальшивые задачи на сервер, можно вывести сервер из строя, исчерпав доступную память.
Сбой может привести к тому, что уже установленные маяки не смогут взаимодействовать с сервером C2, заблокировать установку новых маяков в зараженных системах и помешать текущим операциям красной группы (или злонамеренным), которые использовали развернутые маяки.
«Это позволяет злоумышленнику вызвать исчерпание памяти на машине, на которой работает сервер Cobalt (« Teamserver »), из-за чего сервер не отвечает до тех пор, пока он не будет перезапущен», — сказал SentinelLabs .
«Это означает, что действующие маяки не могут связываться со своим C2, пока операторы не перезапустят сервер. Однако перезапуска недостаточно для защиты от этой уязвимости, поскольку можно повторно нацеливаться на сервер, пока он не будет исправлен или пока конфигурация маяка не будет изменена. измененный.»
Поскольку Cobalt Strike также активно используется злоумышленниками для различных гнусных целей, правоохранительные органы и исследователи безопасности также могут использовать уязвимости Hotcobalt для уничтожения вредоносной инфраструктуры.
20 апреля SentinelLabs раскрыла уязвимости материнской компании CobaltStrike HelpSystems, которая устранила их в Cobalt Strike 4.4, выпущенной ранее сегодня.
График раскрытия информации:
20.04.2021 — Первоначальный контакт с HelpSystems для раскрытия проблемы.
22.04.2021 — Подробная информация о проблеме раскрыта в HelpSystems.
23.04.2021 — HelpSystems подтвердила проблему и запросила продление до 3 августа.
28.04.2021 — SentinelOne принял продление.
18.07.2021 — Отправлен CVE-запрос в MITER.
19.07.2021 — CVE-2021-36798 была назначена и зарезервирована для указанной проблемы.
02.08.2021 — SentinelOne поделился датой публикации и постом для проверки.
02.08.2021 — HelpSystems проверил и подтвердил публикацию сообщения.
04.08.2021 — HelpSystems выпустила Cobalt Strike 4.4, которая содержит исправление для CVE-2021-36798.
Утечка RCE и исходного кода
Это не первая уязвимость, затрагивающая CobaltStrike, поскольку HelpSystems в 2016 году исправила уязвимость атаки обхода каталога на сервере группы , что привело к атакам с удаленным выполнением кода.
В ноябре 2020 года BleepingComputer также сообщил, что исходный код набора инструментов для постэксплуатации Cobalt Strike якобы просочился в репозиторий GitHub.
Как тогда сказал BleepingComputer Виталий Кремез из Advanced Intel, утечка, скорее всего, была перекомпилированным исходным кодом версии Cobalt Strike 4.0 2019 года.
Кремез также сказал, что возможная утечка исходного кода Cobalt Strike «имеет серьезные последствия для всех защитников, поскольку она устраняет препятствия на пути к получению инструмента и существенно облегчает преступным группировкам получение и изменение кода на лету».
Хотя BleepingComputer связалась с Cobalt Strike и их материнской компанией Help Systems, чтобы подтвердить подлинность исходного кода при обнаружении утечки, мы не получили ответа.
Последнее обновление 05.01.2023
