Cobalt Strike 远程代码执行漏洞安全风险通告第三次更新

admin 2022年10月1日09:13:50安全漏洞评论18 views1544字阅读5分8秒阅读模式
Cobalt Strike 远程代码执行漏洞安全风险通告第三次更新

奇安信CERT

致力于第一时间为企业级用户提供安全风险通告有效解决方案。




安全通告



近日,奇安信CERT监测到 Cobalt Strike 远程代码执行漏洞 ,在与 Cobalt Strike 进行通信时,由于Cobalt Strike 使用 GUI 框架 SWING开发,未经身份验证的远程攻击者可通过在 beacon 元数据中注入恶意 HTML 标签,使得CS对其进行解析时加载恶意代码,从而在目标系统上执行任意代码。经奇安信CERT研判,攻击者无法利用此漏洞在互联网上发起大批量攻击。鉴于此漏洞PoC和技术细节已在互联网上公开,建议客户尽快做好自查及防护。


本次更新内容:

更新漏洞描述和技术细节状态;
新增 Cobalt Strike 远程代码执行漏洞(CVE-2022-39197)研判结果、复现截图和危害描述。

经研判,利用此漏洞对互联网上的 C2 机器进行批量攻击的难度较高。一般而言,红队在使用这款工具时会去除默认的 stager 特征,自定义 c2profile ,并通过域前置或云函数进行 teamserver 隐藏。因而,攻击者需要知道 c2profile 的配置,才能构造出合法加密数据包与 teamserver 进行通信。所以攻击者无法利用此漏洞进行大批量攻击。


利用场景应出现在用户获取到使用Cobalt Strike的攻击者的木马样本后,从内存中提取出 c2profile,构造恶意上线包污染 beacon 数据,反制正在使用 Cobalt Strike 客户端的攻击者。


漏洞名称

Cobalt Strike 远程代码执行漏洞

公开时间

2022-09-21

更新时间

2022-09-21

CVE编号

CVE-2022-39197

其他编号

QVD-2022-14283

威胁类型

代码执行

技术类型

跨站脚本攻击(XSS)

厂商

HelpSystems

产品

Cobalt Strike

风险等级

奇安信CERT风险评级

风险等级

高危

蓝色(一般事件)

现时威胁状态

POC状态

EXP状态

在野利用状态

技术细节状态

已发现

未发现

未发现

已公开

漏洞描述

由于Cobalt Strike 使用 GUI 框架 SWING开发,未经身份验证的远程攻击者可通过在 beacon 元数据中注入恶意 HTML 标签,使得CS对其进行解析时加载恶意代码,从而在目标系统上执行任意代码。

影响版本

Cobalt Strike <= 4.7

不受影响版本

Cobalt Strike >= 4.7.1

其他受影响组件


奇安信CERT已成功验证此漏洞PoC,验证截图如下:

Cobalt Strike 远程代码执行漏洞安全风险通告第三次更新

奇安信CERT已成功复现Cobalt Strike 远程代码执行漏洞 (CVE-2022-39197),复现截图如下:

Cobalt Strike 远程代码执行漏洞安全风险通告第三次更新


威胁评估

漏洞名称

Cobalt Strike 远程代码执行漏洞

CVE编号

CVE-2022-39197

其他编号

QVD-2022-14283

CVSS 3.1评级

高危

CVSS 3.1分数

9.8

CVSS向量

访问途径(AV

攻击复杂度(AC

网络

所需权限(PR

用户交互(UI

不需要

影响范围(S

机密性影响(C

不改变

完整性影响(I

可用性影响(A

危害描述

攻击者可以利用该漏洞,发送恶意请求,触发XSS,造成远程代码执行。



处置建议

升级至 Cobalt Strike 4.7.1或更高版本。



参考资料

[1]https://www.cobaltstrike.com/blog/out-of-band-update-cobalt-strike-4-7-1/


时间线

2022年9月22日,奇安信 CERT发布安全风险通告;

2022年9月23日,奇安信 CERT发布安全风险通告第二次更新;

2022年9月29日,奇安信 CERT发布安全风险通告第三次更新。


点击阅读原文

到奇安信NOX-安全监测平台查询更多漏洞详情

原文始发于微信公众号(奇安信 CERT):Cobalt Strike 远程代码执行漏洞安全风险通告第三次更新

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年10月1日09:13:50
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  Cobalt Strike 远程代码执行漏洞安全风险通告第三次更新 http://cn-sec.com/archives/1325425.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: