发布于2022年10月18日3年前 Cobalt Strike 软件平台背后的公司 HelpSystems 发布了一个带外安全更新,以解决远程代码执行漏洞,该漏洞可能允许攻击者控制目标系统。 Cobalt Strike 是一个商业红队框架,主要用于对手模拟,但该软件的破解版本已被勒索软件运营商和以间谍活动为重点的高级持续威胁 (APT) 团体等积极 滥用。 后利用工具包括一个团队服务器,它充当命令和控制 (C2) 组件,以及一个信标,这是用于创建与团队服务器的连接并丢弃下一阶段有效负载的默认恶意软件。 该问题被跟踪为CVE-2022-42948,影响 Cobalt Strike 版本 4.7.1,并且源于 2022 年 9 月 20 日发布的一个不完整的补丁,以纠正跨站点脚本 ( XSS ) 漏洞 ( CVE-2022-39197 )这可能导致远程代码执行。 IBM X-Force 研究人员 Rio Sherri 和 Ruben Boonen说: “XSS 漏洞可以通过操纵一些客户端 UI 输入字段、模拟 Cobalt Strike 植入物签入或通过挂钩在主机上运行的 Cobalt Strike 植入物来触发。”在一篇文章中。 但是,发现在特定情况下可以使用Java Swing 框架触发远程代码执行,该框架是用于设计 Cobalt Strike 的图形用户界面工具包。 “Java Swing 中的某些组件会自动将任何以 <html> 开头的文本解释为 HTML 内容,”HelpSystems 的软件开发经理 Greg Darwin 在一篇文章中解释道。“在整个客户端禁用 html 标签的自动解析就足以缓解这种行为。” 这意味着恶意行为者可以通过HTML <object> 标签利用此行为,利用它加载托管在远程服务器上的自定义有效负载,并将其注入到注释字段以及 Cobalt 中的图形文件浏览器菜单中打击用户界面。 “这里应该指出,这是一个非常强大的利用原语,”IBM 研究人员说,并补充说它可以用来“构建一个功能齐全的跨平台有效负载,无论操作如何,都能够在用户机器上执行代码系统风格或架构。” 一周多前,美国卫生与公众服务部 (HHS)警告称,在针对医疗保健行业的攻击中,Cobalt Strike 等合法工具将继续被武器化。
