2min

Tags in dit artikel

, ,

Cobalt Stike, een tool voor het vinden van kwetsbaarheden, bevat meerdere kwetsbaarheden. Door CVE-2021-36798 is bepaalde communicatie met servers onmogelijk.

Cobalt Strike is een populaire aanvalsframework voor Red Teams, de securityprofessionals die zich voordoen als hackers om kwetsbaarheden te vinden. Ook kwaadwillenden gebruiken de tool. SentinelOne deelt nu een onderzoek met Techzine, waarin het op kwetsbaarheden wijst.

Communicatie

De kwetsbaarheden hebben betrekking op zogeheten Beacon-communicatie van Cobalt Strike. Normaliter zorgt het ervoor dat, bij het voor het eerst draaien van een server, er een willekeurige RSA-sleutel gegenereerd wordt. De Beacon verzamelt informatie over de computer waarop het draait, zoals GPU-architectuur en keyboard, en stuurt de data naar de server via een HTTP GET-verzoek. Ook verzorgt het de versleuteling van de data. Dit proces wordt de ‘Beacon registratie’ genoemd.

Als de Beacon is geregistreerd met de server, kan de aanvaller communiceren met de Beacon. De Beacon werkt door ’tasks’ te ontvangen en er op te reageren. Deze tasks zijn bijvoorbeeld te gebruiken voor het verkrijgen van een proceslijst of het uitvoeren van commando’s. De tasks verlopen via HTTP GET-verzoeken, de Beacon antwoordt op zijn beurt via een HTTP POST-verzoek.

Kwetsbaarheden

SentinelOne ziet dat gebruikers van zijn software te maken krijgen met aanvallen rond de Cobalt Strike Beacons. De agent van SentinelOne voorkomt de aanvallen wel, maar het kan voorkomen dat devices in het bedrijfsnetwerk niet beschermd zijn. Dan worden ze alsnog geïnfecteerd.

Er was al een kwetsbaarheid bekend in Cobalt Strike, waarbij remote code execution op de server mogelijk was. Nu schrijft SentintelOne in zijn onderzoek dat een aanvaller ‘geheugenuitputting’ kan veroorzaken in de Cobalt Strike-server, waardoor de server niet meer reageert. Live Beacons kunnen daardoor niet meer communiceren met hun C2. Het opnieuw opstarten lijkt te helpen, al is dat niet altijd genoeg voor bescherming. De server kan namelijk voortdurend aangevallen worden, indien deze ongepatcht blijft of de configuratie niet verandert. De beperkte communicatie kan er dan ook toe leiden dat medewerkers hun activiteiten niet uit kunnen voeren.

SentinelOne heeft het bedrijf achter Cobalt Strike ingelicht. De nieuwe release lost de kwetsbaarheden op.

Tip: SentinelOne is de flight recorder voor bescherming van endpoints