Los investigadores de ciberseguridad han descubierto múltiples vulnerabilidades de denegación de servicio (DoS) en la popular herramienta de prueba de penetración Cobalt Strike que pueden ser explotadas por usuarios malintencionados.
A pesar de las nobles intenciones de Cobalt Strike, los actores de amenazas lo utilizan popularmente para implementar cargas útiles conocidas como balizas para obtener acceso remoto persistente a sistemas comprometidos.
Durante la reciente conferencia de seguridad BlackHat, los investigadores de SentinelOne revelaron una serie de vulnerabilidades DoS que podrían haber bloqueado la comunicación de la baliza con su servidor de comando y control (C2).
En esencia, los investigadores de seguridad podrían utilizar las vulnerabilidades para perpetrar un ataque DOS en la infraestructura de los actores de la amenaza.
Apagando algo bueno
Las vulnerabilidades rastreadas colectivamente como CVE-2021-36798, y denominadas Hotcobalt, se activan cuando una baliza falsa envía respuestas de tareas falsas al servidor C2.
Las tareas falsas, que SentinelOne demostró en forma de capturas de pantalla anormalmente grandes, agotan toda la memoria del servidor C2 y hacen que se bloquee, interrumpiendo la operación en curso.
Además, las vulnerabilidades son tan graves que incluso reiniciar el servidor no ayuda, ya que las balizas falsas pueden continuar enviando tareas que agotan la memoria, bloqueando el servidor repetidamente.
Cuando las utilizaron las personas del lado correcto de la ley, las vulnerabilidades habrían asestado un golpe devastador a cualquier campaña maliciosa que utilizara Cobalt Strike.
“Aunque se usa todos los días para ataques maliciosos, Cobalt Strike es, en última instancia, un producto legítimo, por lo que hemos revelado estos problemas de manera responsable a HelpSystems y ellos han solucionado las vulnerabilidades en la última versión”, razona SentinelLabs .