Güvenlik araştırmacıları, Beacon komutunu ve kontrolü (C2) iletişim kanallarını ve yeni dağıtımların engellenmesine izin veren Cobalt Strike Service (DOS) güvenlik açıklarını keşfetti.
Kobalt Strike, kırmızı takımlar tarafından saldırı çerçevesi olarak kullanılacak olan meşru bir penetrasyon test aracıdır (güvenlik boşluklarını ve güvenlik açıklarını keşfetmek için kendi kuruluşun altyapısına saldırgan olarak hareket eden güvenlik profesyonelleri grupları.)
Bununla birlikte, kobalt grevi ayrıca, tehlikeye giren cihazlara kalıcı bir uzaktan erişim sağladıktan sonra, işten çıkarılan işten çıkardıktan sonra, işten çıkarma sonrası görevler için tehdit aktörleri tarafından (genellikle ransomware saldırıları sırasında kullanılır) tarafından kullanılır.
Bu işaretçileri kullanarak, saldırganlar daha sonra verileri hasat etmek veya ikinci aşamada kötü amaçlı yazılım yüklerini dağıtmak için ihlal edilen sunuculara erişebilirler.
Sentinellabs (Sentinelone'daki tehdit araştırma ekibi), COBALT Strike sunucusunun en son sürümlerinde CVE-2021-36798 (ve HotCObalt) olarak toplu olarak izlenen DOS güvenlik açıklarını buldu.
Keşfedildiği gibi, biri belirli bir kobalt grev kurulumunun sunucusuyla sahte fenerleri kaydedebilir. Sahte görevler (veya anormal derecede büyük ekran görüntüleri) sunucuya göndererek, sunucuyu kullanılabilir belleği tüketerek çöker.
Kaza, zaten kurulu olan işaretler C2 sunucusuyla iletişim kuramıyor, yeni fenerlerin sızma sistemlerine yüklenmesini engelleyebilir ve konuşlandırılmış işaretleri kullanan devam eden kırmızı ekibe (veya kötü amaçlı) operasyonlara müdahale edebilir.
Sentinellabs, "Bu, kötü amaçlı bir aktörün, Kobalt'ın sunucusunun ('TakımServer') üzerinde çalıştığı yerde, sunucuyu yeniden başlatılıncaya kadar yanıt vermeyen bir şekilde çalışmasını sağlar" dedi.
"Bu, canlı fenerlerin, operatörler sunucuyu yeniden başlatana kadar C2 ile iletişim kuramayacağı anlamına gelir. Ancak, bu güvenlik açığının yeniden başlatılması, bu güvenlik açığına karşı tekrar tekrar hareket ettirilmesi mümkün olduğu için yeterli olmayacaktır. değişti. "
Kobalt grevi de tehdit edici aktörler tarafından çeşitli nefis amaçlar için yoğun bir şekilde kullandığından, kolluk kuvvetleri ve güvenlik araştırmacıları, kötü amaçlı altyapıyı almak için HotCObalt güvenlik açıklarını da kullanabilirler.
20 Nisan'da, Sentinellabs, Kobalt Strike 4.4'te, bugünün başlarında yayınlanan Cobalt Strike 4.4'te ele alan CobaltStrike'in ana şirketi Yardım sistemlerine güvenlik açıklarını açıkladı.
Yardım sistemleri ayrıca, C2 altyapısını sertleştirmek için son kobalt grev sürümüne hemen güncelleyemeyenlerin:
04/20/2021 - Sorun açıklaması için Yardım sistemleri ile ilk temas. 04/22/2021 - Yardım sistemlerine açıklanan detaylar. 04/23/2021 - Yardım sistemleri konuyu doğruladı ve 3 Ağustos'a kadar bir uzantı istedi. 04/28/2021 - Sentinelone uzantıyı kabul etti. 07/18/2021 - Gönderen CVE isteği gönderildi. 07/19/2021 - CVE-2021-36798 belirtilen sorun için atandı ve ayrıldı. 08/02/2021 - Sentinelone, yayın tarihini ve incelemesi için gönderiyi paylaştı. 08/02/2021 - Yardım sistemleri Yayın için gönderiyi inceledi ve onayladı. 08/04/2021 - CVE-2021-36798 için bir düzeltme içeren Cobalt Strike 4.4'ü serbest bıraktı.
Bu, COBALTTRIKE'yı etkilemenin ilk güvenlik açığı değil, 2016 yılında takım sunucusunda bir dizin geçişi saldırı güvenlik açığını yamalı, uzak kod yürütme saldırılarına yol açan.
2020 Kasım'da, BleepingComputer, Kobalt Strike Post-Patropitation Toolkit'in kaynak kodunun, bir GitHub deposunda sızdırıldığını iddia ettiğini bildirmiştir.
Gelişmiş Intel'in Viteli Kremez olduğu gibi, zaman zaman BleepingComputer'a, sızıntı büyük olasılıkla 2019 Kobalt Strike 4.0 versiyonunun yeniden derlenmiş kaynak kodu idi.
KRemez ayrıca, kobalt grev kaynak kodunun olası sızıntısının "tüm savunucular için, aleti elde etmek için giriş engellerini kaldırdığı için önemli bir sonuçlara sahip olduğunu ve temel olarak Suç gruplarının sinemada gerektiği gibi kodu tedarik etmelerini ve değiştirmelerini kolaylaştırır."
BleepingComputer, Kobalt Grevine ve ana şirketi ile temasa geçerken, sızıntı tespit edildiğinde kaynak kodunun özgünlüğünü onaylamaya yardımcı olan sistemler, geri dönmedik.
İPhone Hatası, olağandışı isimle sıcak noktaya katılırken WiFi'yi kırar
Yeni DNS güvenlik açığı şirketlerde 'ulus devlet seviyesi' 'izin veriyor
Yeni Windows PrintNightMare Sıfır Günleri Ücretsiz Resmi olmayan yama alın
Cisco, VPN Yönlendiricilerindeki Kritik, Yüksek Şiddeti Ön Yetkili Öncesi Kusurlarını Tamir
INFRA: Durum Güvenlik Hataları, Kritik Endüstriyel Kontrol Cihazlarını Etkileme
Kaynak: Bleeping Computer