HelpSystems, công ty đứng sau nền tảng phần mềm Cobalt Strike, đã phát hành bản cập nhật bảo mật ngoài băng tần để giải quyết lỗ hổng thực thi mã từ xa có thể cho phép kẻ tấn công kiểm soát các hệ thống được nhắm mục tiêu.
Cobalt Strike là một khuôn khổ nhóm đỏ thương mại chủ yếu được sử dụng để mô phỏng đối thủ, nhưng các phiên bản bẻ khóa của phần mềm đã bị lạm dụng tích cực bởi các nhà khai thác ransomware cũng như các nhóm đe dọa dai dẳng nâng cao tập trung vào gián điệp (APT).
Công cụ sau khai thác bao gồm một máy chủ nhóm, hoạt động như một thành phần lệnh và điều khiển (C2) và một đèn hiệu, phần mềm độc hại mặc định được sử dụng để tạo kết nối với máy chủ của nhóm và thả tải trọng giai đoạn tiếp theo.
Vấn đề, được theo dõi là CVE-2022-42948, ảnh hưởng đến Cobalt Strike phiên bản 4.7.1 và bắt nguồn từ một bản vá không hoàn chỉnh được phát hành vào ngày 20 tháng 9 năm 2022, để khắc phục lỗ hổng kịch bản chéo trang (XSS) (CVE-2022-39197) có thể dẫn đến thực thi mã từ xa.
"Lỗ hổng XSS có thể được kích hoạt bằng cách thao tác với một số trường đầu vào giao diện người dùng phía máy khách, bằng cách mô phỏng đăng ký cấy ghép Cobalt Strike hoặc bằng cách móc cấy ghép Cobalt Strike chạy trên máy chủ," các nhà nghiên cứu của IBM X-Force Rio Sherri và Ruben Boonen cho biết trong một bài viết.
Tuy nhiên, người ta thấy rằng thực thi mã từ xa có thể được kích hoạt trong các trường hợp cụ thể bằng cách sử dụng Java Swing framework, bộ công cụ giao diện người dùng đồ họa được sử dụng để thiết kế Cobalt Strike.
"Một số thành phần nhất định trong Java Swing sẽ tự động diễn giải bất kỳ văn bản nào dưới dạng nội dung HTML nếu nó bắt đầu bằng <html>," Greg Darwin, giám đốc phát triển phần mềm tại HelpSystems, giải thích trong một bài đăng. "Vô hiệu hóa tự động phân tích cú pháp các thẻ html trên toàn bộ máy khách là đủ để giảm thiểu hành vi này."
Điều này có nghĩa là một tác nhân độc hại có thể khai thác hành vi này bằng thẻ HTML <đối tượng>, sử dụng nó để tải tải trọng tùy chỉnh được lưu trữ trên máy chủ từ xa và đưa nó vào trường ghi chú cũng như menu trình khám phá tệp đồ họa trong giao diện người dùng Cobalt strike.
"Cần lưu ý ở đây rằng đây là một nguyên thủy khai thác rất mạnh mẽ", các nhà nghiên cứu của IBM cho biết và cho biết thêm nó có thể được sử dụng để "xây dựng một tải trọng đa nền tảng đầy đủ tính năng có thể thực thi mã trên máy của người dùng bất kể hương vị hoặc kiến trúc hệ điều hành".
Phát hiện này được đưa ra chỉ hơn một tuần sau khi Bộ Y tế và Dịch vụ Nhân sinh Hoa Kỳ (HHS) cảnh báo về việc tiếp tục vũ khí hóa các công cụ hợp pháp như Cobalt Strike trong các cuộc tấn công nhằm vào lĩnh vực chăm sóc sức khỏe.