Новости Ошибка в Cobalt Strike позволяет отключать серверы злоумышленников

  • Автор темы GLOV
  • Дата начала

GLOV

Опытный
ПРОВЕРЕННЫЙ ПРОДАВЕЦ
Private Club
Старожил
Регистрация
20/5/18
Сообщения
1.158
Репутация
536
Реакции
1.634
RUB
2.000
Депозит
56 072 рублей
Сделок через гаранта
29
Арбитражи
1
Исследователи SentinelOne обнаружили DoS-уязвимость в Cobalt Strike, что позволяет блокировать управление маяками, а также новые развертывания.
Напомню, что этот легитимный коммерческий инструмент, созданный для пентестеров и red team и ориентированный на эксплуатацию и постэксплуатацию, давно любим хакерами, начиная от правительственных APT-группировок и заканчивая операторами шифровальщиков. Хотя он недоступен для рядовых пользователей и полная версия оценивается примерно в 3500 долларов за установку, злоумышленники все равно находят способы его использовать (к примеру, полагаются на старые, пиратские, взломанные и незарегистрированные версии).

Как правило, злоумышленники используют взломанные версии Cobalt Strike для получения устойчивого удаленного доступа к скомпрометированной сети (и постэксплуатации после развертывания так называемых маяков) и нередко применяют его во время вымогательских атак.
Специалисты SentinelOne сообщают, что обнаружили уязвимость CVE-2021-36798 (получившую название Hotcobalt) в последних версиях сервера Cobalt Strike. Баг позволяет зарегистрировать поддельные маяки на сервере конкретной установки Cobalt Strike, а затем, отправляя фальшивые задачи на этот сервер, вывести его из строя, исчерпав доступную память.
В результате уже установленные маяки не смогут взаимодействовать C&C-сервером, установка новых маяков в зараженных системах тоже будет заблокирована, и это помешает red team или злоумышленникам использовать развернутые маяки.
«Активные маяки не смогут связываться со своим C&C-сервером, пока операторы его не перезапустят. Однако перезапуска тоже недостаточно для защиты от этой уязвимости, поскольку можно повторно атаковать сервер, пока он не будет исправлен или пока конфигурация маяков не будет изменена», — пишут эксперты, предполагая, что правоохранительные органы и ИБ-исследователи смогут использовать Hotcobalt для ликвидации инфраструктуры хакеров.
Уязвимость была обнаружена еще в апреле, и разработчики CobaltStrike HelpSystems устранили баг, выпустив Cobalt Strike 4.4 на этой неделе.
 
Сверху Снизу