CERTMIL

Centrul de Răspuns la Incidente de Securitate Cibernetică

Vulnerabilitate critică descoperită în Cobalt Strike

HelpSystems, compania din spatele software-ului Cobalt Strike, a publicat o actualizare de securitate pentru a remedia o vulnerabilitate de tip remote code execution care ar putea permite unui atacator să preia controlul asupra sistemelor vizate.

Cobalt Strike este un framework folosit de echipele red-team care este utilizat în principal pentru simularea acțiunilor adversarului, dar versiunile piratate ale software-ului au fost utilizate în mod activ atât de operatorii de ransomware, cât și de grupurile de amenințări avansate persistente (APT) axate pe spionaj.

Instrumentul de post-exploatare este format dintr-un team server care funcționează ca o componentă de comandă și control (C2), și un beacon, malware-ul implicit utilizat pentru a crea o conexiune la team server și pentru a lansa payload-urile din etapa următoare.

Vulnerabilitatea, identificată ca CVE-2022-42948, afectează versiunea 4.7.1 a Cobalt Strike și provine dintr-un patch incomplet lansat la 20 septembrie 2022( pentru a remedia o vulnerabilitate de scripting cross-site (XSS)) (CVE-2022-39197) care ar putea duce la executarea de cod de la distanță.

S-a constatat că execuția de cod de la distanță ar putea fi declanșată în cazuri specifice folosind framework-ul Java Swing, setul de instrumente de interfață grafică cu utilizatorul care este folosit pentru a proiecta Cobalt Strike.

„Anumite componente din cadrul Java Swing vor interpreta automat orice text ca fiind conținut HTML dacă începe cu <html>”, a explicat Greg Darwin, manager de dezvoltare software la HelpSystems. „Dezactivarea parsării automate a tag-urilor html  pe partea de client a fost suficient pentru a mitiga comportamentul.”

Acest lucru înseamnă că un atacator ar putea exploata acest comportament prin intermediul unui tag HTML <object>, utilizându-l pentru a încărca un payload personalizat găzduit pe un server de la distanță și a o injecta în câmpul de note, precum și în meniul grafic de explorare a fișierelor din interfața de utilizare Cobalt strike.

„Trebuie remarcat că aceasta este o primitivă de exploatare foarte puternică”, au declarat cercetătorii IBM, adăugând că ar putea fi folosită pentru a „construi un payload cross-platform cu funcționalitate completă, care ar fi capabilă să execute cod pe mașina utilizatorului, indiferent de arhitectura sistemului de operare”.

Sursa: https://thehackernews.com/2022/10/critical-rce-vulnerability-discovered.html

Autor

© Ministerul Apărării Naţionale | Site realizat de Agenția de Apărare Cibernetică