Cobalt Strike yazılım platformunun arkasındaki şirket olan HelpSystems, bir saldırganın hedeflenen sistemlerin kontrolünü ele geçirmesine izin verebilecek bir uzaktan kod yürütme güvenlik açığını gidermek için bant dışı bir güvenlik güncellemesi yayınladı.
Cobalt Strike, esas olarak düşman simülasyonu için kullanılan ticari bir kırmızı ekip çerçevesidir, ancak yazılımın kırık sürümleri aktif olarak kullanılmıştır. suistimal edilmiş fidye yazılımı operatörleri ve casusluk odaklı gelişmiş kalıcı tehdit (APT) grupları tarafından benzer şekilde.
bu sömürü sonrası araç komut ve kontrol (C2) bileşeni olarak işlev gören bir ekip sunucusundan ve ekip sunucusuna bağlantı oluşturmak ve sonraki aşama yüklerini bırakmak için kullanılan varsayılan kötü amaçlı yazılım olan bir işaretçiden oluşur.
Sorun, şu şekilde izlendi: CVE-2022-42948Cobalt Strike sürüm 4.7.1’i etkiler ve siteler arası komut dosyasını düzeltmek için 20 Eylül 2022’de yayınlanan tamamlanmamış bir yamadan kaynaklanır (XSS) güvenlik açığı (CVE-2022-39197) uzaktan kod yürütülmesine neden olabilir.
IBM X-Force araştırmacıları Rio Sherri ve Ruben Boonen, “XSS güvenlik açığı, bazı istemci tarafı UI giriş alanlarını manipüle ederek, bir Cobalt Strike implant check-in’ini simüle ederek veya bir ana bilgisayarda çalışan bir Cobalt Strike implantını takarak tetiklenebilir.” söz konusu bir yazımda.
Ancak, belirli durumlarda uzaktan kod yürütmenin tetiklenebileceği bulundu. Java Swing çerçevesiCobalt Strike’ı tasarlamak için kullanılan grafiksel kullanıcı arabirimi araç takımı.
HelpSystems yazılım geliştirme müdürü Greg Darwin, “Java Swing içindeki belirli bileşenler, ile başlayan herhangi bir metni otomatik olarak HTML içeriği olarak yorumlayacaktır,” dedi. açıkladı bir gönderide. “İstemcinin tamamında html etiketlerinin otomatik ayrıştırılmasını devre dışı bırakmak, bu davranışı azaltmak için yeterliydi.”
Bu, kötü niyetli bir aktörün bu davranıştan yararlanabileceği anlamına gelir. HTML uzak bir sunucuda barındırılan özel bir yükü yüklemek ve içine enjekte etmek için kullanarak not alanı ve ayrıca Cobalt Strike kullanıcı arayüzündeki grafik dosya gezgini menüsü.
IBM araştırmacıları, “Bunun çok güçlü bir istismar ilkel olduğu burada belirtilmelidir,” dedi ve “işletimden bağımsız olarak kullanıcının makinesinde kod yürütebilecek tam özellikli bir çapraz platform yükü oluşturmak için kullanılabileceğini” ekledi. sistem aroması veya mimarisi.”
Bulgular, ABD Sağlık ve İnsan Hizmetleri Departmanından (HHS) bir haftadan biraz daha uzun bir süre sonra geldi. uyarıldı sağlık sektörünü hedef alan saldırılarda Kobalt Grevi gibi meşru araçların sürekli olarak silahlandırılması.