新的CobaltStrike漏洞允许攻击者的服务器被攻破

安全研究人员发现了 Cobalt Strike 拒绝服务 (DoS) 漏洞，这些漏洞允许阻止信标命令和控制 (C2) 通信通道和新部署。

Cobalt Strike 是一种合法的渗透测试工具，旨在用作红队（一群安全专业人员在其组织的基础设施上充当攻击者以发现安全漏洞和漏洞）的攻击框架。

然而，Cobalt Strike 也被威胁行为者（通常在勒索软件攻击期间使用）用于部署所谓的信标后的后利用任务，为他们提供对受感染设备的持久远程访问。

使用这些信标，攻击者可以稍后访问被破坏的服务器以收集数据或部署第二阶段的恶意软件负载。

攻击者基础设施的目标

SentinelLabs（SentinelOne 的威胁研究团队）在最新版本的 Cobalt Strike 的服务器中发现了统称为CVE-2021-36798（并称为Hotcobalt）的 DoS 漏洞。

正如他们发现的那样，人们可以在特定 Cobalt Strike 安装的服务器上注册假信标。通过向服务器发送虚假任务（或异常大的屏幕截图），可能会耗尽可用内存而导致服务器崩溃。

崩溃可能导致已安装的信标无法与 C2 服务器通信，阻止新信标安装在渗透系统上，并干扰正在使用已部署信标的红队（或恶意）操作。

SentinelLabs 说： “这让恶意行为者可以在运行 Cobalt 的服务器（'Teamserver'）的机器上造成内存耗尽，这使得服务器在重新启动之前没有响应 。”

“这意味着在操作员重新启动服务器之前，实时信标无法与其 C2 通信。但是，重新启动不足以抵御此漏洞，因为有可能反复瞄准服务器，直到它被修补或信标的配置是变了。”

由于 Cobalt Strike 也被威胁行为者大量用于各种恶意目的，因此执法和安全研究人员也可以利用 Hotcobalt 漏洞来关闭恶意基础设施。

4 月 20 日，SentinelLabs 向 CobaltStrike 的母公司 HelpSystems 披露了这些漏洞，后者在今天早些时候发布的 Cobalt Strike 4.4 中解决了这些漏洞。

HelpSystems 还建议那些无法立即更新到最新 Cobalt Strike 版本的人通过以下方式强化他们的 C2 基础设施：

在 4.4 之前的 Cobalt Strike 版本上禁用暂存将其团队服务器基础设施的访问权限限制为仅受信任的来源

披露时间表：

04/20/2021 - 首次联系 HelpSystems 以披露问题。04/22/2021 - 向 HelpSystems 披露的问题详细信息。04/23/2021 - HelpSystems 确认了该问题并要求将其延期至 8 月 3 日。04/28/2021 - SentinelOne 接受了延期。07/18/2021 - 向 MITRE 提交了 CVE 请求。07/19/2021 - CVE-2021-36798 被分配并保留用于指定的问题。08/02/2021 - SentinelOne 分享了发布日期并发布以供审核。08/02/2021 - HelpSystems 审核并确认了该帖子的发布。08/04/2021 - HelpSystems 发布了 Cobalt Strike 4.4，其中包含针对 CVE-2021-36798 的修复。

RCE和源代码泄漏

这并不是第一个影响 CobaltStrike 的漏洞，2016 年 HelpSystems 已经修补 了团队服务器 中的一个目录遍历攻击漏洞，导致远程代码执行攻击。

2020 年 11 月，BleepingComputer 还报告称，Cobalt Strike 后开发工具包的源代码据称已在 GitHub 存储库中泄露。

正如 Advanced Intel 的 Vitali Kremez 当时告诉 BleepingComputer 的那样，泄漏很可能是 2019 年 Cobalt Strike 4.0 版本的重新编译源代码。

Kremez 还表示，Cobalt Strike 源代码的可能泄露“对所有防御者都具有重大影响，因为它消除了获取该工具的门槛，并从根本上使犯罪集团能够轻松地根据需要即时获取和修改代码。”

虽然 BleepingComputer 在发现泄漏时联系了 Cobalt Strike 及其母公司 Help Systems 以确认源代码的真实性，但我们还没有收到回复。

原文来自: bleepingcomputer.com