【漏洞通告】Hotcobalt:Cobalt Strike 拒绝服务漏洞(CVE-2021-36798)

  • A+
所属分类:安全漏洞

0x00 漏洞概述

CVE     ID

CVE-2021-36798

时      间

2021-08-04

类      型

DoS

等      级

高危

远程利用

影响范围


攻击复杂度


可用性

用户交互

所需权限

PoC/EXP

已公开

在野利用


 

0x01 漏洞详情

【漏洞通告】Hotcobalt:Cobalt Strike 拒绝服务漏洞(CVE-2021-36798)


CobaltStrike是一款以Metasploit为基础的GUI框架式渗透测试工具(业界人称为CS神器),集成了端口转发、服务扫描、自动化溢出、多模式端口监听、exe、powershell木马生成等功能。它分为客户端与服务端,主要用于团队作战。作为一款协同APT工具,Cobalt Strike针对内网的渗透测试和控制终端功能,使其变成众多APT组织、攻击者或红队工具的首选。

2021年8月4日,SentinelLabs的研究人员公开披露了在Cobalt Strike服务器最新版本中发现的多个DoS 漏洞(CVE-2021-36798,被称为Hotcobalt),目前其PoC已公开。

可以在特定Cobalt Strike安装的服务器上注册假beacon,并通过向服务器发送虚假任务,以耗尽可用内存并导致服务器崩溃,这将使已经安装的beacon无法与C2服务器通信,阻止新的beacon被安装在渗透的系统上,并干扰正在进行的恶意活动。

虽然 Cobalt Strike(合法产品)被威胁者广泛用于各种恶意目的,但蓝队和安全研究人员也可以利用 Hotcobalt 漏洞来关闭恶意基础设施。

 

影响范围

CobaltStrike 4.2

CobaltStrike 4.3

 

0x02 处置建议

目前Hotcobalt漏洞已在CobaltStrike 4.4中修复(于2021年8月4日发布),建议相关蓝队或安全研究人员及时升级更新。

下载链接:

https://www.cobaltstrike.com/

 

0x03 参考链接

https://labs.sentinelone.com/hotcobalt-new-cobalt-strike-dos-vulnerability-that-lets-you-halt-operations/

https://www.bleepingcomputer.com/news/security/new-cobalt-strike-bugs-allow-takedown-of-attackers-servers/

https://github.com/Sentinel-One/CobaltStrikeParser/blob/master/extra/communication_poc.py

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-36798

 

0x04 更新版本

版本

日期

修改内容

V1.0

2021-08-05

首次发布

 

0x05 文档附录

CNVD:www.cnvd.org.cn

CNNVD:www.cnnvd.org.cn

CVE:cve.mitre.org

NVD:nvd.nist.gov

CVSS:www.first.org

 

0x06 关于我们

关注以下公众号,获取更多资讯:

【漏洞通告】Hotcobalt:Cobalt Strike 拒绝服务漏洞(CVE-2021-36798)


本文始发于微信公众号(维他命安全):【漏洞通告】Hotcobalt:Cobalt Strike 拒绝服务漏洞(CVE-2021-36798)

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: