SentinelOne ontdekt nieuwe Cobalt Strike DoS-kwetsbaarheid

Een van de meest populaire attack-frameworks dat is ontworpen voor Red Team-operaties

| SentinelOne | 2 min | 05 augustus 2021 21:14
Copyright: SentinelOne
Cobalt Strike is een van de meest populaire attack-frameworks dat is ontworpen voor Red Team-operaties. Echter, tegelijkertijd gebruiken ook veel APT's en kwaadwillenden het framework. SentinelOne heeft bij zijn klanten talloze aanvallen gezien met Cobalt Strike Beacons. Hoewel deze aanvallen worden voorkomen door de SentinelOne-agent, zijn er ook gevallen waarin sommige apparaten niet worden beschermd en vervolgens geïnfecteerd raken met een Cobalt Strike Beacon.

SentinelOne wilde daarom een nieuwe manier ontwikkelen om klanten en beveiligingsteams zich te laten verdedigen tegen deze aanvallen door zich te richten op de C2-servers. Hierbij werden verschillende kwetsbaarheden ontdekt die zijn gerapporteerd in CVE-2021-36798.

Er was al een kwetsbaarheid in Cobalt Strike bekend die eerder werd gemeld. In de praktijk maakte die kwetsbaarheid het uitvoeren van externe code op de server mogelijk. Aangezien de code van de server in Java is geschreven en niet erg groot is, was het niet zo moeilijk om daar bugs te vinden. De onderzoekers ontdekten dat het mogelijk is de Beacon-communicatie te verstoren. Dit leidde uiteindelijk tot het crashen van de webthread van de server die HTTP-stagers en Beacon-communicatie afhandelt.

Het beveiligingslek biedt de mogelijkheid een DoS-aanval uit te voeren op de servers van de aanvallers en kan de lopende operaties daardoor ernstig verstoren. Hoewel Cobalt Strike elke dag wordt gebruikt voor kwaadaardige aanvallen, is het uiteindelijk een legitiem product, dus heeft SentinelOne de problemen op verantwoorde wijze aan HelpSystems gemeld. De kwetsbaarheden zijn in de laatste release verholpen.

Hoe vind je dit artikel?


Geef jij de eerste rating?

Content op basis van interesse of taal liever niet meer zien? Ga dan naar settings om eenvoudig je voorkeuren in te stellen.

Over SentinelOne

SentinelOne (NYSE: S) levert autonome endpoint-bescherming middels een enkelvoudige agent die preventie, detectie, respons en opsporings-functionaliteit combineert. Het SentinelOne platform is ontwikkeld met het oog op zeer hoog gebruiksgemak en bespaart gebruikers tijd dankzij de inzet van AI om automatisch en in realtime dreigingen binnen het bedrijf en in de cloud te elimineren. Daarnaast is het de enige oplossing die volledig inzicht biedt van edge tot cloud over het hele netwerk.
Meer over SentinelOne

Disclaimer

Dit item is verkregen via óf is gebaseerd op een externe bron en valt daarmee buiten de verantwoordelijkheid van de redactie. Als het item een (gedeeltelijke) vertaling is van het origineel, dan is bij eventuele verschillen in betekenis het originele item leidend.
20200608191257.png
Dé leukste website op het gebied van zorg in Nederland
20191029200614.jpg
Drive value with data
20191029224512.jpg
Het no-nonsense internetbureau
20191030101402.jpg
De grootste Nederlandse site over Android
20200707165104.png
Meer meisjes en vrouwen in bèta, techniek en IT
20191030100036.png
Voor professionals met passie voor digitale revolutie!
20191030103431.png
Conference by app developers, for app developers!
© 2019-2021, alle rechten voorbehouden.
TechVisor
Het vizier op de tech industrie.