Vulnerabilitate critică descoperită în Cobalt Strike
https://thehackernews.com
HelpSystems, compania din spatele software-ului Cobalt Strike, a publicat o actualizare de securitate pentru a remedia o vulnerabilitate de tip remote code execution care ar putea permite unui atacator să preia controlul asupra sistemelor vizate.
Cobalt Strike este un framework folosit de echipele red-team care este utilizat în principal pentru simularea acțiunilor adversarului, dar versiunile piratate ale software-ului au fost utilizate în mod activ atât de operatorii de ransomware, cât și de grupurile de amenințări avansate persistente (APT) axate pe spionaj.
Instrumentul de post-exploatare este format dintr-un team server care funcționează ca o componentă de comandă și control (C2), și un beacon, malware-ul implicit utilizat pentru a crea o conexiune la team server și pentru a lansa payload-urile din etapa următoare.
Vulnerabilitatea, identificată ca CVE-2022-42948, afectează versiunea 4.7.1 a Cobalt Strike și provine dintr-un patch incomplet lansat la 20 septembrie 2022( pentru a remedia o vulnerabilitate de scripting cross-site (XSS)) (CVE-2022-39197) care ar putea duce la executarea de cod de la distanță.
S-a constatat că execuția de cod de la distanță ar putea fi declanșată în cazuri specifice folosind framework-ul Java Swing, setul de instrumente de interfață grafică cu utilizatorul care este folosit pentru a proiecta Cobalt Strike.
„Anumite componente din cadrul Java Swing vor interpreta automat orice text ca fiind conținut HTML dacă începe cu <html>”, a explicat Greg Darwin, manager de dezvoltare software la HelpSystems. „Dezactivarea parsării automate a tag-urilor html pe partea de client a fost suficient pentru a mitiga comportamentul.”
Acest lucru înseamnă că un atacator ar putea exploata acest comportament prin intermediul unui tag HTML <object>, utilizându-l pentru a încărca un payload personalizat găzduit pe un server de la distanță și a o injecta în câmpul de note, precum și în meniul grafic de explorare a fișierelor din interfața de utilizare Cobalt strike.
„Trebuie remarcat că aceasta este o primitivă de exploatare foarte puternică”, au declarat cercetătorii IBM, adăugând că ar putea fi folosită pentru a „construi un payload cross-platform cu funcționalitate completă, care ar fi capabilă să execute cod pe mașina utilizatorului, indiferent de arhitectura sistemului de operare”.
Sursa: https://thehackernews.com/2022/10/critical-rce-vulnerability-discovered.html
