Kobalt Vuruşu, Red Team operasyonları için gerekli olduğundan, düzeltme hızlı bir şekilde geliştirildi.
Cobalt Strike sızma testi aracının arkasındaki ekip, başarısız bir uzaktan kod yürütme (RCE) istismar yaması raporlarına yeni bir düzeltmeyle yanıt verdi.
HelpSystems’in Cobalt Strike’ı, siber güvenlik uzmanlarının saldırı sonrası ajanlarla saldırıları simüle etmelerini sağlar ve muhtemelen türünün en popüler tehdit öykünme yazılımıdır.
Bununla birlikte, lisanslı yazılımın eski sürümlerinin kaynak kodu, en sonuncusunun 2020’de gerçekleştiği bildirilen sızıntılara tabidir.
Sonuç olarak, Kobalt Strike genellikle, yasadışı iletişim için komuta ve kontrol (C2) işaretlerini kurmak için yazılımı kullanan karmaşık tehdit aktörlerinin cephaneliğinde ortaya çıkar.
Başarısız düzeltme
Bu aracın önemi ve dünya çapındaki kırmızı ekiplerin araştırma ve siber güvenlik denetimleri için Cobalt Strike’a nasıl güvendiği göz önüne alındığında, başarısız olan yamanın ayrıntıları, bir düzeltme yayınlanana kadar gizli tutuldu.
17 Ekim’de, IBM’in X-Force Red Adversary Simulation ekibinin güvenlik danışmanı olan Rio Sherri, bir blog gönderisinde, bilinen bir RCE güvenlik açığını çözmek için tasarlanmış bir yamanın başarısız olduğunu açıkladı.
CVE-2022-39197 olarak izlenen ve 6.1’lik bir CVSS önem puanı veren güvenlik açığı, uzak saldırganların Cobalt Strike ekip sunucusunda izinsiz kod yürütmesine izin veren bir siteler arası komut dosyası çalıştırma (XSS) sorunudur.
ŞUNLAR DA HOŞUNUZA GİDEBİLİR Microsoft Office Online Server, SSRF’den RCE’ye istismara açık
Bir Cobalt Strike v.4.7 yükünü inceleyerek ve kullanıcı adı alanını değiştirerek hatayı tetiklemek mümkün oldu. Alternatif olarak, bir davetsiz misafir, çıkarılan bilgileri kullanarak yeni, kötü niyetli bir yük oluşturabilir.
‘Beichendream’ takma adlı bir araştırmacı, orijinal güvenlik açığını özel olarak bildirdi.
HelpSystems, 20 Eylül’de RCE için bant dışı bir yama yayınladı. Cobalt Strike 4.7.1 sürümü, Teamserver dosyasına HelpSystems’e göre “XSS doğrulamasının seçili Beacon meta verilerinde gerçekleştirilip gerçekleştirilmeyeceğini belirten” yeni bir özellik ekledi.
Ancak IBM araştırmacıları Sherri ve Ruben Boonen yamayı inceledikten sonra, 4.7.1 güncellemesinin “güvenlik açığının etkisini azaltmak için yetersiz” olduğu ortaya çıktı.
Araştırmacılar, bir saldırganın Java Swing bileşenlerini oluşturması durumunda, düzeltmeyi atlatmanın ve sınıf yollarında rastgele Java nesneleri oluşturmanın mümkün olduğunu buldu, çünkü Java Swing, bir HTML etiketiyle başladığı sürece herhangi bir metni HTML içeriği olarak yorumlayacaktır. Nesne etiketleri daha sonra sunucudan bir Cobalt Strike istemcisinin daha sonra dağıtacağı kötü amaçlı bir yük yükleyebilir.
İkinci yama
IBM X-Force, bulgularını HelpSystems’e özel olarak bildirdi ve yeni bir CVE, CVE-2022-42948 istedi. Araştırmacılar ayrıca kurşun geçirmez bir yama oluşturmada Cobalt Strike geliştiricilerine yardımcı oldular.
Güvenlik açığı, ikinci bir bant dışı yama ile Cobalt Strike v. 4.7.2’de çözüldü. HelpSystems, IBM’e teşekkür ederek, atlatmanın Java Swing çerçevesinde oluşturulan Cobalt Strike arabiriminden kaynaklandığını belirtti.
IBM yeni bir CVE talep ederken, HelpSystems, temel sorunun bağımsız bir uygulama olarak Cobalt Strike yerine Java Swing’de olduğunu belirterek istemedi.
Cobalt Strike yazılım geliştirme müdürü Greg Darwin, “Bununla son log4j güvenlik açığı arasında paralellikler olduğunu hissettik – log4j kullanan binlerce uygulama savunmasızdı ve yine de her bir savunmasız uygulamayı kapsayacak CVE’ler yok” dedi. “Bazı insanların aynı fikirde olmayabileceğini takdir etsem de, burada da aynı durum var.”
Günlük Swig yeni CVE atamasının odak noktası konusunda netlik için IBM’e ulaştı ve geri döndüğümüzde güncelleme yapacağız.
KAÇIRMAYIN Apache Commons Metin RCE: Log4Shell ile benzerlik var ancak maruz kalma riski ‘çok daha düşük’