La vulnerabilidad de Cobolt Strike afecta a los servidores de botnets


La vulnerabilidad de Cobolt Strike afecta a los servidores de botnets

Cobolt Strike es una herramienta de seguridad, utilizada por probadores de penetración para simular atacantes de pink. Pero también lo utilizan los atacantes, desde delincuentes hasta gobiernos, para automatizar sus propios ataques. Los investigadores tienen encontré una vulnerabilidad en el producto.

Los componentes principales de la herramienta de seguridad son el cliente Cobalt Strike, también conocido como Beacon, y el servidor del equipo Cobalt Strike, que envía comandos a las computadoras infectadas y recibe los datos que exfiltran. Un atacante comienza poniendo en marcha una máquina que ejecuta Workforce Server que se ha configurado para usar personalizaciones específicas de «maleabilidad», como la frecuencia con la que el cliente debe informar al servidor o datos específicos para enviar periódicamente.

Luego, el atacante instala el cliente en una máquina objetivo después de explotar una vulnerabilidad, engañar al usuario u obtener acceso por otros medios. A partir de ese momento, el cliente utilizará esas personalizaciones para mantener un contacto persistente con la máquina que ejecuta Team Server.

El enlace que conecta al cliente con el servidor se denomina hilo del servidor web, que maneja la comunicación entre las dos máquinas. La principal de las comunicaciones son las «tareas» que los servidores envían para indicar a los clientes que ejecuten un comando, obtengan una lista de procesos o hagan otras cosas. Luego, el cliente responde con una «respuesta».

Investigadores de la firma de seguridad SentinelOne encontraron recientemente un mistake crítico en el Staff Server que facilita la desconexión del servidor. El mistake funciona enviando respuestas falsas a un servidor que «exprimen cada bit de memoria disponible del hilo del servidor net del C2 …».

Es una vulnerabilidad bastante grave y ya hay un parche disponible. Pero, y esta es la parte interesante, ese parche está disponible para usuarios con licencia, lo que los atacantes a menudo no lo están. Pasará un tiempo antes de que el parche se filtre a las copias pirateadas del software, y esa ventana de tiempo les da una oportunidad a los defensores. Pueden simular un cliente Cobolt Strike y aprovechar esta vulnerabilidad para responder a los servidores con mensajes que hacen que el servidor se bloquee.

Publicado el 11 de agosto de 2021 a las 6:42 AM •
1 comentarios



Enlace a la noticia authentic