De nouveaux bugs de Cobalt Strike ont été découverts

0

Des chercheurs en sécurité ont découvert des vulnérabilités de déni de service (DoS) de Cobalt Strike qui permettent de bloquer les canaux de communication de commande et de contrôle (C2) des balises et les nouveaux déploiements.

Cobalt Strike est un outil de test d’intrusion légitime conçu pour être utilisé comme framework d’attaque par les équipes rouges (groupes de professionnels de la sécurité qui agissent comme des attaquants sur l’infrastructure de leur propre organisation pour découvrir les failles de sécurité et les vulnérabilités.)

Cependant, Cobalt Strike est également utilisé par les pirates informatiques (généralement utilisés lors d’attaques de ransomware) pour les tâches de post-exploitation après le déploiement de soi-disant balises, qui leur fournissent un accès à distance persistant aux appareils compromis.

À l’aide de ces balises, les attaquants peuvent ultérieurement accéder aux serveurs violés pour collecter des données ou déployer des charges utiles de logiciels malveillants de deuxième étape.

Cibles sur l’infrastructure des attaquants

SentinelLabs (l’équipe de recherche de SentinelOne) a trouvé les vulnérabilités de déni de service collectivement identifiées sous le nom CVE-2021-36798 (et surnommées Hotcobalt) dans les dernières versions du serveur de Cobalt Strike.

Comme ils l’ont découvert, on peut enregistrer de fausses balises auprès du serveur d’une installation particulière de Cobalt Strike. En envoyant de fausses tâches (ou des captures d’écran anormalement volumineuses) au serveur, on peut faire planter le serveur en épuisant la mémoire disponible.

Le crash peut empêcher les balises déjà installées de communiquer avec le serveur C2, bloquer l’installation de nouvelles balises sur les systèmes infiltrés et interférer avec les opérations en cours de l’équipe rouge (ou malveillantes) qui ont utilisé les balises déployées.

« Cela permet à un pirate informatique de provoquer un épuisement de la mémoire sur la machine sur laquelle le serveur de Cobalt (le ‘serveur d’équipe’) s’exécute, ce qui rend le serveur insensible jusqu’à ce qu’il soit redémarré », a déclaré SentinelLabs.

« Cela signifie que les balises en direct ne peuvent pas communiquer avec leur C2 tant que les opérateurs n’ont pas redémarré le serveur. Le redémarrage, cependant, ne sera pas suffisant pour se défendre contre cette vulnérabilité car il est possible de cibler à plusieurs reprises le serveur jusqu’à ce qu’il soit corrigé ou que la configuration de la balise soit modifié. »

cobalt strike

Étant donné que Cobalt Strike est également largement utilisé par les pirates informatiques à diverses fins néfastes, les chercheurs et les autorités peuvent également utiliser les vulnérabilités Hotcobalt pour éliminer les infrastructures malveillantes.

Le 20 avril, SentinelLabs a révélé les vulnérabilités à HelpSystems, la société mère de CobaltStrike, qui les a corrigées dans Cobalt Strike 4.4, publié plus tôt dans la journée.

HelpSystems conseille également à ceux qui ne peuvent pas mettre à jour immédiatement vers la dernière version de Cobalt Strike de sécuriser leur infrastructure C2 en:

  • Désactivation de la mise en scène sur les versions de Cobalt Strike antérieures à la version 4.4
  • Limiter l’accès à leur infrastructure de serveur d’équipe aux seules sources de confiance

Calendrier de divulgation:

20/04/2021 – Premier contact avec HelpSystems pour la divulgation du problème.

22/04/2021 – Les détails du problème sont divulgués à HelpSystems.

23/04/2021 – HelpSystems a confirmé le problème et a demandé une prolongation jusqu’au 3 août.

28/04/2021 – SentinelOne a accepté l’extension.

18/07/2021 – Soumission d’une demande de CVE à MITRE.

19/07/2021 – CVE-2021-36798 a été attribué et réservé pour le problème spécifié.

08/02/2021 – SentinelOne a partagé la date de publication et la publication pour examen. 08/02/2021 – HelpSystems a examiné et confirmé la validité de la publication.

08/04/2021 – HelpSystems a publié Cobalt Strike 4.4, qui contient un correctif pour CVE-2021-36798.

Exécution de code à distance et fuite de code source de Cobalt Strike

Ce n’est pas la première vulnérabilité à affecter CobaltStrike, HelpSystems ayant corrigé une vulnérabilité d’attaque de traversée de répertoire dans le serveur d’équipe en 2016, conduisant à des attaques d’exécution de code à distance.

En novembre 2020, le code source de la boîte à outils post-exploitation Cobalt Strike aurait été divulgué dans un référentiel GitHub.

Comme Vitali Kremez d’Advanced Intel l’a dit à l’époque, la fuite était très probablement le code source recompilé de la version 2019 de Cobalt Strike 4.0.

Kremez a également déclaré que la fuite possible du code source de Cobalt Strike « a des conséquences importantes pour tous les défenseurs car elle supprime les barrières à l’entrée pour obtenir l’outil et permet essentiellement aux groupes criminels de se procurer et de modifier le code au besoin ».

Laisser un commentaire