Критическая RCE-уязвимость обнаружена в Cobalt Strike

Разработчик инструмента Cobalt Strike, компания HelpSystems, выпустил внеплановое обновление безопасности для устранения RCE-уязвимости, позволяющей злоумышленнику получить контроль над целевыми системами.

Ошибка CVE-2022-42948 затрагивает Cobalt Strike версии 4.7.1 и связана с неполным патчем, выпущенным 20 сентября 2022 года для устранения уязвимости межсайтового скриптинга (XSS). Недостаток может привести к удаленному выполнению кода. Исследователи IBM X-Force заявили , что XSS-уязвимость может быть вызвана манипулированием некоторыми полями ввода пользовательского интерфейса на стороне клиента, имитацией регистрации имплантата Cobalt Strike или подключением имплантата Cobalt Strike, работающего на хосте.

Однако было обнаружено , что удаленное выполнение кода может быть совершено в определенных случаях с помощью среды Java Swing, набора инструментов графического пользовательского интерфейса, который используется для разработки Cobalt Strike.Некоторые компоненты в Java Swing автоматически интерпретируют любой текст как HTML-контент, если он начинается с тега «html». Отключение автоматического анализа тегов «html» в клиенте достаточно, чтобы избежать этого поведения.

Это означает, что киберпреступник может использовать HTML-тег «<object>» для загрузки полезной нагрузки, размещенной на удаленном сервере, и внедрить ее в поле примечания, а также в графическое меню проводника файлов в Cobalt Strike. По словам исследователей IBM, это можно использовать для создания полнофункциональной кроссплатформенной полезной нагрузки, которая сможет выполнять код на компьютере пользователя независимо от операционной системы или архитектуры.