企业动态

    奇安信CERT

    致力于第一时间为企业级用户提供安全风险通告和有效解决方案。

    安全通告

    近日，奇安信CERT监测到CobaltStrike远程代码执行漏洞，在与CobaltStrike进行通信时，由于CobaltStrike使用GUI框架SWING开发，未经身份验证的远程攻击者可通过在beacon元数据中注入恶意HTML标签，使得CS对其进行解析时加载恶意代码，从而在目标系统上执行任意代码。经奇安信CERT研判，攻击者无法利用此漏洞在互联网上发起大批量攻击。鉴于此漏洞PoC和技术细节已在互联网上公开，建议客户尽快做好自查及防护。

    本次更新内容:

    更新漏洞描述和技术细节状态；

    新增CobaltStrike远程代码执行漏洞(CVE-2022-39197)研判结果、复现截图和危害描述。

    经研判，利用此漏洞对互联网上的C2机器进行批量攻击的难度较高。一般而言，红队在使用这款工具时会去除默认的stager特征，自定义c2profile，并通过域前置或云函数进行teamserver隐藏。因而，攻击者需要知道c2profile的配置，才能构造出合法加密数据包与teamserver进行通信。所以攻击者无法利用此漏洞进行大批量攻击。

    利用场景应出现在用户获取到使用CobaltStrike的攻击者的木马样本后，从内存中提取出c2profile，构造恶意上线包污染beacon数据，反制正在使用CobaltStrike客户端的攻击者。

    奇安信CERT已成功验证此漏洞PoC，验证截图如下：

    奇安信CERT已成功复现CobaltStrike远程代码执行漏洞(CVE-2022-39197)，复现截图如下：

    威胁评估

    处置建议

    升级至CobaltStrike4.7.1或更高版本。

    参考资料

    [1]https://www.cobaltstrike.com/blog/out-of-band-update-cobalt-strike-4-7-1/

    时间线

    2022年9月22日，奇安信CERT发布安全风险通告；

    2022年9月23日，奇安信CERT发布安全风险通告第二次更新；

    2022年9月29日，奇安信CERT发布安全风险通告第三次更新。

    到奇安信NOX-安全监测平台查询更多漏洞详情