使用隐藏的RCE漏洞修复失败的Cobalt Strike现已修补CVE-2022-42948

Cobalt Strike渗透测试工具背后的团队对远程代码执行(RCE)漏洞利用补丁失败的报告做出了新的修复。HelpSystems 的Cobalt Strike使网络安全专业人员能够模拟利用后利用代理的攻击,并且可以说是同类中最受欢迎的威胁仿真软件。但是,旧版许可软件的源代码可能会泄露——据报道,最近一次泄露发生在2020年。因此,Cobalt Strike经常出现在使用该软件为非法通信设置命令和控制(C2)信标的复杂威胁参与者的武器库中。

鉴于此工具的重要性以及全球红队如何依赖Cobalt Strike进行研究和网络安全审计,失败补丁的详细信息一直保密,直到可以发布修复程序。

10月17日,IBM X-Force Red Adversary Simulation团队的管理安全顾问Rio Sherri在一篇博文中透露,旨在解决已知RCE漏洞的补丁已经失败。

该漏洞的编号为CVE-2022-39197,CVSS严重性评分为6.1,是一个跨站点脚本(XSS)问题,允许远程攻击者在未经Cobalt Strike团队服务器许可的情况下执行代码。

可以通过检查Cobalt Strike v.4.7有效负载并修改用户名字段来触发该错误。或者,入侵者可以使用提取的信息创建新的恶意负载。

一位化名为“Beichendream”的研究人员私下报告了最初的安全漏洞。

HelpSystems于9月20日为RCE发布了一个带外补丁。根据HelpSystems的说法,Cobalt Strike 4.7.1版本向teamserver文件添加了一个新属性,该属性“指定是否对选定的Beacon元数据执行XSS验证”。

然而,在IBM研究人员Sherri和Ruben Boonen检查了该补丁后,发现4.7.1更新“不足以减轻漏洞的影响”。

研究人员发现,如果攻击者创建了Java Swing组件,就有可能绕过修复程序并在类路径中创建任意Java对象,因为Java Swing会将任何以HTML标记开头的文本解释为HTML内容。然后,对象标签可以从服务器加载恶意负载,随后Cobalt Strike客户端将部署该负载。

IBM X-Force私下将其发现通知了HelpSystems,并请求了一个新的CVE,CVE-2022-42948。研究人员还协助Cobalt Strike开发人员创建了一个防弹补丁。

该漏洞已在Cobalt Strike v. 4.7.2中通过第二个带外补丁解决。HelpSystems对IBM表示感谢,并指出该规避是由基于Java Swing框架构建的Cobalt Strike接口引起的。

虽然IBM要求新的CVE,但HelpSystems没有,并指出根本问题在于Java Swing而不是Cobalt Strike作为独立应用程序。

Cobalt Strike软件开发经理Greg Darwin评论说:“我们认为这与最近的log4j漏洞之间存在相似之处 - 数千个使用 log4j的应用程序易受攻击,但没有CVE涵盖每个易受攻击的应用程序。” “这里的情况也是如此,尽管我很欣赏有些人可能不同意。”

发表评论

评论已关闭。

相关文章