Opnieuw een Cobalt Strike DoS-kwetsbaarheid ontdekt
Cybersecuritybedrijf SentinelOne heeft een nieuwe Cobalt Strike DoS-kwetsbaarheid ontdekt. Het beveiligingslek stelt kwaadwilligen in staat om een DoS-aanval uit te voeren op bedrijfsservers en kan de lopende operaties daardoor ernstig verstoren.
Cobalt Strike is een populair raamwerk van HelpSystems dat is ontworpen voor Red Team-operaties. Tegelijkertijd maken ook veel APT’s (advanced persistent threats) en kwaadwillenden gebruik van het framework. SentinelOne registreerde bij klanten al talloze aanvallen met zogeheten Cobalt Strike Beacons. Hoewel dergelijke aanvallen worden opgevangen door de SentinelOne-agent, zijn er gevallen waarbij sommige apparaten niet worden beschermd en vervolgens geïnfecteerd raken.
C2-servers in het vizier
SentinelOne wil daarom een nieuwe verdedigingstactiek ontwikkelen die gericht is tegen aanvallen op C2-servers. Met name op die servers werden verschillende kwetsbaarheden ontdekt, die zijn gerapporteerd in CVE-2021-36798. CVE of voluit Common Vulnerabilities and Exposures is een databank met informatie over kwetsbaarheden in computersystemen en netwerken.
Eerder kwam al een andere kwetsbaarheid aan het licht in Cobalt Strike. In de praktijk maakte dat lek het uitvoeren van externe code op een server mogelijk. Aangezien de code van de server in Java is geschreven en niet erg groot is, was de bug volgens SentinelOne ‘niet zo moeilijk te vinden’. Het lek stelde kwaadwillenden in staat de Beacon-communicatie te verstoren. Dat leidde uiteindelijk tot het crashen van de webthread van de server die HTTP-stagers en Beacon-communicatie afhandelt.
Hoewel Cobalt Strike elke dag wordt gebruikt voor kwaadaardige aanvallen, is het een legitiem product. Ontwikkelaar HelpSystems is daarom door SentinelOne van de problemen op de hoogte gesteld, en in de jongste release zouden de bewuste kwetsbaarheden zijn verholpen.
In samenwerking met Dutch IT-channel.
Fout opgemerkt of meer nieuws? Meld het hier