Kritisk RCE-sårbarhed i Cobalt Strike-software

Af Eskil Sørensen, 20/10/22

Angribere kan få adgang til at manipulere et red team simuleringsværktøj.

Firmaet bag Cobalt Strike-softwareplatformen, HelpSystems, har udsendt en sikkerhedsopdatering mhp. at rette en RCE-sårbarhed, der kan give en angriber hacker mulighed for at tage kontrol over de angrebne systemer.

Det skriver The Hacker News og en række andre medier.

Sårbarheden har id’et CVE-2022-42948 og påvirker Cobalt Strike version 4.7.1. Den stammer angiveligt fra en ufuldstændig patch, der blev udsendt i september i år. Patchet blev udsendt for håndtere cross-site scripting-sårbarhed, der kan føre til fjernafvikling af kode. Denne havde id’et CVE-2022-39197 og en score på 6.1 på CVSS-skalaen.

I korte træk kan en ondsindet aktør udnytte sårbarheden ved hjælp af et HTML-tag, bruge det til at indlæse en payload, der er hostet på en ekstern server og injicere den i notefeltet såvel som den grafiske filmenu i Cobalt.

Java Swing-frameværket er GUI-værktøjet, som er brugt til designet af Cobalt Strike. Specifikke komponenter inde i Java Swing er automatisk opsat til at kunne fortolke enhver tekst som starter med <html> og her i ligger problembet.Så mitigeringen er at deaktivere den automatiske parsing af HTML tags på tværs af hele Cobalt Strike-klienten. Om man er fysisk på enheden eller eksternt er lige meget. En angriber ville kunne injecte et payload gennem et HTML-tag ved brug af inputfelterne i Cobalt pga. Java Swing-komponenternes følsomhed over for HTML-tags.  

Red team-værktøj

Cobalt Strike er en løsning, der bruges af red teams til simulering af angreb. Imidlertid er crackede versioner af softwaren blevet aktivt misbrugt af trusselsaktører, både fra ransomware- og spionagesiden.

Det fremgår af Infosecurity Magazine, at HelpSystems har undskyldt for problemerne. Ligeledes hedder det, at licenserede brugere kan køre opdateringsprogrammet for at få den nyeste version eller downloade version 4.7.2 fra bunden af fra hjemmesiden. Cobalt strike anbefaler at tage en kopi af den eksisterende Cobalt Strike-mappe, før man opdaterer, hvis man skal tilbage til den tidligere version.

Softwarefirmaet var ifølge Infosecurity Magazine også i søgelyset i sidste måned, da Cisco Talos afslørede en ondsindet kampagne, der stolede på Cobalt Strike-beacons og brugte dem i efterfølgende angreb.

Links:

https://thehackernews.com/2022/10/critical-rce-vulnerability-discovered.html

https://securityintelligence.com/posts/analysis-rce-vulnerability-cobalt-strike/

https://securityaffairs.co/wordpress/137284/hacking/cobalt-strike-rce.html

https://www.infosecurity-magazine.com/news/rce-vulnerability-in-cobalt-strike/

 

 

Keywords: 
cobalt strike
red team