HelpSystems

HelpSystems, perusahaan di balik platform perangkat lunak Cobalt Strike, telah merilis pembaruan keamanan out-of-band untuk mengatasi kerentanan eksekusi kode jarak jauh yang memungkinkan penyerang mengambil kendali sistem yang ditargetkan.

Cobalt Strike adalah kerangka kerja tim merah komersial yang terutama digunakan untuk simulasi musuh, tetapi versi perangkat lunak yang retak telah disalahgunakan secara aktif oleh operator ransomware dan kelompok ancaman persisten lanjutan (APT) yang berfokus pada spionase.

Alat pasca-eksploitasi terdiri dari server tim, yang berfungsi sebagai komponen perintah-dan-kontrol (C2), dan suar, malware default yang digunakan untuk membuat koneksi ke server tim dan menjatuhkan muatan tahap berikutnya.

Masalah ini, dilacak sebagai CVE-2022-42948, memengaruhi Cobalt Strike versi 4.7.1, dan berasal dari tambalan tidak lengkap yang dirilis pada 20 September 2022, untuk memperbaiki kerentanan skrip lintas situs (XSS) (CVE-2022-39197) yang dapat menyebabkan eksekusi kode jarak jauh.

“Kerentanan XSS dapat dipicu dengan memanipulasi beberapa bidang input UI sisi klien, dengan mensimulasikan check-in implan Cobalt Strike atau dengan mengaitkan implan Cobalt Strike yang berjalan pada host,” kata peneliti IBM X-Force, Rio Sherri dan Ruben Boonen. dalam sebuah tulisan.

Namun, ditemukan bahwa eksekusi kode jarak jauh dapat dipicu dalam kasus tertentu menggunakan kerangka Java Swing, perangkat antarmuka pengguna grafis yang digunakan untuk merancang Cobalt Strike.

“Komponen tertentu dalam Java Swing akan secara otomatis menafsirkan teks apa pun sebagai konten HTML jika dimulai dengan ,” Greg Darwin, manajer pengembangan perangkat lunak di HelpSystems, menjelaskan dalam sebuah posting. “Menonaktifkan penguraian otomatis tag html di seluruh klien sudah cukup untuk mengurangi perilaku ini.”

Ini berarti bahwa aktor jahat dapat mengeksploitasi perilaku ini melalui tag