该修复程序是以跑步速度开发的,因为钴罢工对于红队运营至关重要
钴罢工背后的团队渗透测试工具已响应了使用新修复程序的远程代码执行(RCE)利用补丁程序的报告。
帮助系统的钴罢工使网络安全专业人员能够使用后爆炸性代理模拟攻击,并且可以说是其类型中最受欢迎的威胁仿真软件。
但是,许可软件的旧版本的源代码可能会泄漏 - 据报道最新发生在2020年。
结果,钴的罢工经常在复杂的威胁参与者的武器库中浮出水面,他们使用该软件来设置命令和控制(C2)信标进行非法通信。
修复失败
鉴于该工具的重要性以及全球红色团队如何依靠钴罢工进行研究和网络安全审核,因此,失败的补丁的细节被私有化,直到可以发布修复程序为止。
IBM的X-Force Red Aversary Simulation团队的安全顾问Rio Sherri在10月17日透露在博客文章中旨在解决已知RCE漏洞的补丁失败了。
漏洞被跟踪为CVE-2022-39197并发布了CVSS严重性评分为6.1,是跨站脚本((XSS)允许远程攻击者在未经Cobalt Strike TeamServer许可的情况下执行代码的问题。
你也许也喜欢Microsoft Office Online Server向SSRF-TO-RCE漏洞开放
可以通过检查钴罢工v.4.7有效载荷并修改用户名字段来触发错误。另外,入侵者可以使用提取的信息创建新的恶意有效载荷。
假名“ Beichendream”的研究人员私下报告了原始安全缺陷。
帮助系统出版了带外补丁在9月20日的RCE中。钴罢工4.7.1版本为TeamServer文件添加了一个新属性,该文件“指定是否在选定的信标元数据上执行XSS验证”,根据HelpSystas的说法。
但是,在IBM研究人员Sherri和Ruben Boonen检查了该补丁后,它使4.7.1更新“不足以减轻脆弱性的影响”。
研究人员发现,如果攻击者创建了Java秋千组件,则可以在类路径中绕过修复并创建任意的Java对象,因为Java Swing会将任何文本解释为HTML内容,只要它以HTML标记开头。然后,对象标签可以从服务器加载恶意有效载荷,钴罢工客户端随后将其部署。
第二个补丁
IBM X-Force私下通知其发现的帮助系统,并要求新的CVE,CVE-2022-42948。研究人员还协助钴罢工开发人员创建了防弹补丁。
漏洞已解决钴罢工诉4.7.2通过第二个带外补丁。HelpSystes感谢IBM,并指出,绕行是由Java Swing框架上构建的钴罢工界面引起的。
尽管IBM要求新的CVE,但HelpSystems却没有,并指出潜在的问题是在Java Swing中,而不是钴罢工作为独立应用。
“我们认为这与最近的Log4J漏洞之间存在相似之处 - 数千个使用Log4J的应用程序是脆弱的,但没有CVE来涵盖每个易受伤害的应用程序,” Cobalt Strike Software开发经理Greg Darwin评论说。“这里是同一情况,尽管我感谢有些人可能不同意。”
每日swbeplay2018官网ig已与IBM联系,以清楚新CVE分配的重点,我们将在听到回来时进行更新。