Popüler Sömürü Sonrası Kobalt Saldırısı Araç Takımında Kritik RCE Kusuru Bulundu

Yakın zamanda, kullanım sonrası Cobalt Strike araç setindeki bir RCE güvenlik açığını düzeltmek için HelpSystems tarafından yepyeni bir bant dışı güvenlik güncellemesi (Cobalt Strike 4.7.2) yayınlandı.

RCE güvenlik açığı, X-Force Red Adversary Simulation Team, Rio Sherri (0x09AL) ve Ruben Boonen (FuzzySec) güvenlik uzmanları tarafından belirlendi ve rapor edildi.

Ayrıca, bu kritik RCE güvenlik açığını azaltmalarına yardımcı olmak için tüm önemli bulguları HelpSystems ile paylaştılar.

RCE Güvenlik Açığı

Cobalt Strike sürüm 4.7.1, CVE-2022-42948 olarak tanımlanan bu güvenlik açığından etkilenir. 20 Eylül 2022 yama döngüsü sırasında, bu güvenlik açığına neden olan tamamlanmamış bir yama yayınlandı. Bu yama ile XSS güvenlik açığı (CVE-2022-39197) düzeltildi.

Bu XSS güvenlik açığından yararlanmak için, belirli istemci tarafı kullanıcı arabirimi giriş alanlarının değiştirilmesi gerekir. Bu manipülasyonun aşağıdaki form faktörlerinin yardımıyla gerçekleştirilebileceğini not etmek önemli olsa da: –

• Bir Kobalt Strike implant check-in simülasyonu.
• Bir ana bilgisayar üzerinde çalışan bir Kobalt Vuruşu implantının takılması.

Cobalt Strike’da, Kobalt Strike’ın tasarımı için kullanılan araç takımı olan Java Swing çerçevesi, RCE’yi tetiklemek için belirli durumlarda kullanılabilir.

Bir dizi Java Swing bileşeni, bir HTML etiketiyle başlayan metni otomatik olarak yorumlar (“”) ve burada bu güvenlik açığından yararlanmak için bu durumda bir nesne etiketi kullanılabilir.

Aşağıda, kusuru çalışırken görebileceğiniz bir videodan bahsettik: –

Kullanılan web sunucusuna bağlı olarak, Cobalt Strike istemcisi aslında web sunucusundan kötü amaçlı bir yük yükleyebilir ve bunu yürütebilir. Ancak bu davranış, HTML etiketlerinin otomatik ayrıştırılması devre dışı bırakılarak azaltılabilir.

Bu kusurun bir sonucu olarak, saldırganlar, bir HTML kullanarak uzak sunucularda barındırılan kötü amaçlı yükleri yüklemek için bu kusurdan yararlanabilir.