В Cobalt Strike нашли и пропатчили критическую RCE-уязвимость

Екатерина Быстрова 18 Октября 2022 - 17:05

Общее

Системы для анализа защищенности информационных систем

Средства тестирования на проникновение

Уязвимости программ

Патчи

...

Компания HelpSystems, занимающаяся разработкой инструмента Cobalt Strike, выпустила внеплановое обновление, устраняющее критическую уязвимость. Известно, что брешь позволяет удалённо выполнить код и получить контроль над атакуемыми системами.

На всякий случай напомним, что Cobalt Strike является фреймворком для ред тиминга и позволяет имитировать действия атакующих. Взломанные версии инструмента не раз фигурировали в кампаниях APT-группировок.

В Cobalt Strike входит сервер, выступающий в качестве командного центра (C2), и «маячок» — вредоносная программа, которая на первом этапе атаки устанавливает соединение с C2 и сбрасывает последующие пейлоады в систему.

В версии Cobalt Strike 4.7.1 нашли уязвимость, получившую идентификатор CVE-2022-42948. Она возникла после некорректного патча, выпущенного 20 сентября 2022 года. Тогда разработчики пытались устранить другой XSS-баг — CVE-2022-39197.

Новую RCE-брешь можно использовать в определённых условиях с помощью библиотеки Java Swing, предназначенной для создания графического интерфейса софта на языке Java.

«Отдельные компоненты в Java Swing могут автоматически интерпретировать любой текст как HTML-контент, если он начинается с “<html>“. Отключения автоматического парсинга HTML-тегов во всём клиенте оказалось достаточно для устранения проблемы», — пишет в пояснении Грег Дарвин, один из разработчиков в штате HelpSystems.

Другими словами, условный атакующий мог использовать HTML-тег <object> для загрузки кастомного пейлоада, хранящегося на удалённом сервере. Затем этот пейлоад можно было внедрить в пользовательский интерфейс Cobalt Strike.

В прошлом месяце некие хактивисты атаковали серверы Cobalt Strike и разместили антироссийские послания.

Следующая главная новость »

Подписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Татьяна Никитина 24 Апреля 2024 - 21:35

Корпорации ГК «Солар»

Солар показала годовой рост в два раза выше рынка

ГК «Солар» огласила основные финансовые показатели на 31 декабря 2023 года. Выручка возросла на 36% до 17,3 млрд руб., OIBDA — на 46% до 5,6 млрд рублей.

Прирост совокупной выручки по продуктам ИБ составил 50%, по сервисам — 46%. Клиентская аудитория увеличилась до 1000 компаний.

Вместе с тем объемы российского ИБ-рынка сейчас возрастают на 15% в год. На его развитие большое влияние оказывает рост спроса на СЗИ в условиях интенсификации и усложнения кибератак, а также курс страны на импортозамещение.

Так, в прошлом году, по оценке экспертов, число киберинцидентов на территории России возросло на 64%. На 21% увеличилось количество фишинговых сайтов, с DDoS-атаками столкнулись на 40% больше компаний, чем в 2022 году.

Средняя мощность DDoS не превышала 1 Гбит/с, однако такие атаки способны причинить большой ущерб: большинство коммерческих компаний используют каналы шириной до 100 Мбит/с.

Продуктовая стратегия «Солара» нацелена на создание решений для всех сегментов ИБ-рынка. Сейчас в разработке находится 12 новых продуктов.

В следующем месяце ожидается запуск ПАК NGFW, который к сентябрю обещают разогнать до 100 Гбит/с. (Сейчас быстродействие Solar NGFW составляет 20 Гбит/с в режиме FW и 4 Гбит/с в режиме NGFW.)

В этом году ИБ-компания также планирует запустить EDR, NTA, доступное для малого / среднего бизнеса облачное решение; опробовать сервисную модель предоставления услуг и расширить географию поставок своих решений, в том числе на Ближний Восток и в Юго-Восточную Азию.

При внушительном объеме инвестиций в 22 млрд руб. к 2027 году больше половины OIBDA «Солара», по ожиданиям, будут формировать портфели R&D и M&A.