- 18.01.19
- 1,604
- 60,333 ₽
- 15
Исследователи SentinelOne обнаружили DoS-уязвимость в Cobalt Strike, что позволяет блокировать управление маяками, а также новые развертывания.
Напомню, что этот легитимный коммерческий инструмент, созданный для пентестеров и red team и ориентированный на эксплуатацию и постэксплуатацию, давно любим хакерами, начиная от правительственных APT-группировок и заканчивая операторами шифровальщиков. Хотя он недоступен для рядовых пользователей и полная версия оценивается примерно в 3500 долларов за установку, злоумышленники все равно находят способы его использовать (к примеру, полагаются на старые, пиратские, взломанные и незарегистрированные версии).
Как правило, злоумышленники используют взломанные версии Cobalt Strike для получения устойчивого удаленного доступа к скомпрометированной сети (и постэксплуатации после развертывания так называемых маяков) и нередко применяют его во время вымогательских атак.
Специалисты SentinelOne сообщают, что обнаружили уязвимость CVE-2021-36798 (получившую название Hotcobalt) в последних версиях сервера Cobalt Strike. Баг позволяет зарегистрировать поддельные маяки на сервере конкретной установки Cobalt Strike, а затем, отправляя фальшивые задачи на этот сервер, вывести его из строя, исчерпав доступную память.
В результате уже установленные маяки не смогут взаимодействовать C&C-сервером, установка новых маяков в зараженных системах тоже будет заблокирована, и это помешает red team или злоумышленникам использовать развернутые маяки.
Напомню, что этот легитимный коммерческий инструмент, созданный для пентестеров и red team и ориентированный на эксплуатацию и постэксплуатацию, давно любим хакерами, начиная от правительственных APT-группировок и заканчивая операторами шифровальщиков. Хотя он недоступен для рядовых пользователей и полная версия оценивается примерно в 3500 долларов за установку, злоумышленники все равно находят способы его использовать (к примеру, полагаются на старые, пиратские, взломанные и незарегистрированные версии).
Как правило, злоумышленники используют взломанные версии Cobalt Strike для получения устойчивого удаленного доступа к скомпрометированной сети (и постэксплуатации после развертывания так называемых маяков) и нередко применяют его во время вымогательских атак.
Специалисты SentinelOne сообщают, что обнаружили уязвимость CVE-2021-36798 (получившую название Hotcobalt) в последних версиях сервера Cobalt Strike. Баг позволяет зарегистрировать поддельные маяки на сервере конкретной установки Cobalt Strike, а затем, отправляя фальшивые задачи на этот сервер, вывести его из строя, исчерпав доступную память.
В результате уже установленные маяки не смогут взаимодействовать C&C-сервером, установка новых маяков в зараженных системах тоже будет заблокирована, и это помешает red team или злоумышленникам использовать развернутые маяки.
Уязвимость была обнаружена еще в апреле, и разработчики CobaltStrike HelpSystems устранили баг, выпустив Cobalt Strike 4.4 на этой неделе.
