Cobalt Strike team서버에서 RCE취약점 발견!

Cobalt Strike team서버에서 RCE취약점 발견!

28일, Cobalt Strike team 서버에서 원격코드실행 취약점이 발견되었습니다. 사용자들은 내장되어 있는 ./update를 이용하여 긴급히 패치를 진행해야 합니다. 

Strategic Cyber LLC는 외부로부터 의심스러운 취약점에 대한 보고를 받았으며, 해당 내용에 대해 조사를 진행한 결과, 해당 취약점이 원격코드실행 취약점일 것이라는 가능성이 높다고 밝혀왔습니다. 

원인 

Beacon 및 SHH이 유효한 페이로드가 실행파일 다운로드 기능 중, 잘못된 매개변수 처리로 인하여 Directory traversal 공격을 허용합니다. 해당 취약점을 통해 공격자는 Cobalt Strike의 리스너에 연결하고, 페이로드 스테이지를 다운로드 하고, 해당 스테이지에 포함되어 있는 정보를 이용하여 가짜 세션을 통해 강제로 Cobalt Strike의 메세지를 만들어 임의의 위치에 파일을 작성할 수 있습니다. 

감염 현상

다음과 같은 현상들은 악용시도를 나타낼 수 있는 지표들입니다. 

1. GET request 의 /aaaa지표

비록 이는 로드단계의 유효한 URI연결 중 차단이 가능하지만, Cobalt Strike가 유효한 로드단계를 다운로드 할 경우 해당 URI연결이 랜덤하게 바뀌게 됩니다. 

2. 보고서에는 .config 다운로드 경로,/etc/crontab，및 /etc/cron.d/.hourly경로가 명시되어 있습니다.

3. 보고서에 따르면, 공격자는 서버상의 로그와 다운로드 파일 내역을 삭제하며, Cobalt Strike의 데이터모델과 로그 기록도 삭제합니다.

영향받는 버전

모든 버전의 Cobalt Strike 3.5 및 하위 버전

Cobalt Strike 2.x 및 하위버전에도 영향을 줄 가능성이 있음

※ 영향받는 버전 확인 방법

Help >  System Information 확인

만약 이미 패치가 되어있는 버전이라면, Cobalt Strike의 버전이 20160928로 명시되어 있을 것이며, Help > About을 클릭하면 3.5-hf1로 표기되어 있을 것입니다.

패치방법

체험판 사용자 : 패치가 된 최신버전의 체험판 설치

일반 사용자 : 내장된 업데이트 프로세스를 이용하여 패치가 포함된 CS버전으로 업데이트

출처 :

http://blog.cobaltstrike.com/