0x00 漏洞概述
|
CVE ID |
CVE-2021-36798 |
时 间 |
2021-08-04 |
|
类 型 |
DoS |
等 级 |
高危 |
|
远程利用 |
是 |
影响范围 |
|
|
攻击复杂度 |
可用性 |
高 |
|
|
用户交互 |
无 |
所需权限 |
无 |
|
PoC/EXP |
已公开 |
在野利用 |
0x01 漏洞详情
CobaltStrike是一款以Metasploit为基础的GUI框架式渗透测试工具(业界人称为CS神器),集成了端口转发、服务扫描、自动化溢出、多模式端口监听、exe、powershell木马生成等功能。它分为客户端与服务端,主要用于团队作战。作为一款协同APT工具,Cobalt Strike针对内网的渗透测试和控制终端功能,使其变成众多APT组织、攻击者或红队工具的首选。
2021年8月4日,SentinelLabs的研究人员公开披露了在Cobalt Strike服务器最新版本中发现的多个DoS 漏洞(CVE-2021-36798,被称为Hotcobalt),目前其PoC已公开。
可以在特定Cobalt Strike安装的服务器上注册假beacon,并通过向服务器发送虚假任务,以耗尽可用内存并导致服务器崩溃,这将使已经安装的beacon无法与C2服务器通信,阻止新的beacon被安装在渗透的系统上,并干扰正在进行的恶意活动。
虽然 Cobalt Strike(合法产品)被威胁者广泛用于各种恶意目的,但蓝队和安全研究人员也可以利用 Hotcobalt 漏洞来关闭恶意基础设施。
影响范围
CobaltStrike 4.2
CobaltStrike 4.3
0x02 处置建议
目前Hotcobalt漏洞已在CobaltStrike 4.4中修复(于2021年8月4日发布),建议相关蓝队或安全研究人员及时升级更新。
下载链接:
https://www.cobaltstrike.com/
0x03 参考链接
https://labs.sentinelone.com/hotcobalt-new-cobalt-strike-dos-vulnerability-that-lets-you-halt-operations/
https://www.bleepingcomputer.com/news/security/new-cobalt-strike-bugs-allow-takedown-of-attackers-servers/
https://github.com/Sentinel-One/CobaltStrikeParser/blob/master/extra/communication_poc.py
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-36798
0x04 更新版本
|
版本 |
日期 |
修改内容 |
|
V1.0 |
2021-08-05 |
首次发布 |
0x05 文档附录
CNVD:www.cnvd.org.cn
CNNVD:www.cnnvd.org.cn
CVE:cve.mitre.org
NVD:nvd.nist.gov
CVSS:www.first.org
0x06 关于我们
关注以下公众号,获取更多资讯:
本文始发于微信公众号(维他命安全):【漏洞通告】Hotcobalt:Cobalt Strike 拒绝服务漏洞(CVE-2021-36798)
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论