새로운 Cobalt Strike 취약점으로 공격자의 서버 중단 가능해

 

SentinelLabs는 최신 버전의 Cobalt Strike 서버에서 집합적으로 Hotcobalt로 불리는 CVE-2021-36798 취약점을 발견했습니다.

CVE-2021-36798는 비콘 C2 통신 채널 및 새로운 배포를 차단할 수 있는 Cobalt Strike DoS(서비스 거부) 취약점입니다.

Cobalt Strike는 레드팀(취약점을 발견하기 위해 조직의 인프라에서 공격자 역할을 하는 보안 전문가 그룹)이 공격 프레임워크로 사용하도록 설계된 합법적인 침투 테스트 도구입니다.

취약점은 이미 설치된 비콘을 C2 서버와 통신할 수 없도록 하고, 침투된 시스템에 새 비콘이 설치되는 것을 차단하고, 배포된 비콘을 사용하는 레드팀의 작업을 방해할 수 있습니다.

이를 통해 공격자가 Cobalt Strike의 서버가 실행되는 시스템의 메모리를 고갈시켜 서버를 다시 시작할 때까지 서버가 응답하지 않게 만들 수 있습니다.

Cobalt Strike는 다양한 악의적인 목적으로 많이 사용되기 때문에 법 집행 기관 및 보안 연구원도 Hotcobalt 취약점을 사용하여 악성 인프라를 제거할 수 있습니다.

4월 20일 SentinelLabs는 CobaltStrike의 모회사인 HelpSystems에 취약점을 공개했으며, 8월 4일 HelpSystems는 CVE-2021-36798에 대한 수정 사항이 포함된 Cobalt Strike 4.4를 출시했습니다.

 

 

CVE 번호

 

CVE-2021-36798

 

 

취약한 버전

 

Cobalt Strike 4.2, 4.3

 

 

패치 방법

 

Cobalt Strike 4.4로 업데이트

 

 

 

 

출처:

https://www.bleepingcomputer.com/news/security/new-cobalt-strike-bugs-allow-takedown-of-attackers-servers/

https://labs.sentinelone.com/hotcobalt-new-cobalt-strike-dos-vulnerability-that-lets-you-halt-operations/