Cobalt Strike是一种合法的渗透测试工具,也被攻击者用于在部署信标后执行post-exploitation任务,提供对受感染设备的持久远程访问。
近日安全研究人员发现Cobalt Strike服务器的4.2和4.3版本存在拒绝服务(DOS)漏洞,编号为CVE-2021-36798(Hotcobalt)。该漏洞会使现有的信标无法与其 C2 服务器通信,阻止安装新的信标,并有可能干扰正在进行的操作。
该漏洞允许攻击者在特定Cobalt Strike安装的服务器上注册假信标。通过向服务器发送虚假任务,包括:获取进程列表、运行命令、执行横向移动等,通过这些虚假任务耗尽可用内存来使服务器崩溃,导致已安装的信标无法与C2 服务器通信,受害者执行重新启动的操作,但是,重新启动不足以抵御此漏洞,因为攻击者有可能反复瞄准服务器,直到漏洞被修补或信标的配置改变。其中任何一个操作都会使现有的实时信标过时,因为在使用新配置更新它们之前,它们将无法与服务器通信。
由于 Cobalt Strike被攻击者大量用于各种恶意目的,因此执法和安全研究人员也可以利用 Hotcobalt 漏洞来关闭恶意基础设施。
参考链接:https://labs.sentinelone.com/hotcobalt-new-cobalt-strike-dos-vulnerability-that-lets-you-halt-operations/
声明:本文来自白泽安全实验室,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
