Cobalt Strike is een van de meest populaire attack-frameworks dat is ontworpen voor Red Team-operaties. Echter, tegelijkertijd gebruiken ook veel APT’s en kwaadwillenden het framework. SentinelOne heeft bij zijn klanten talloze aanvallen gezien met Cobalt Strike Beacons.
Hoewel deze aanvallen worden voorkomen door de SentinelOne-agent, zijn er ook gevallen waarin sommige apparaten niet worden beschermd en vervolgens geïnfecteerd raken met een Cobalt Strike Beacon.
SentinelOne wilde daarom een nieuwe manier ontwikkelen om klanten en beveiligingsteams zich te laten verdedigen tegen deze aanvallen door zich te richten op de C2-servers. Hierbij werden verschillende kwetsbaarheden ontdekt die zijn gerapporteerd in CVE-2021-36798.
Er was al een kwetsbaarheid in Cobalt Strike bekend die eerder werd gemeld. In de praktijk maakte die kwetsbaarheid het uitvoeren van externe code op de server mogelijk. Aangezien de code van de server in Java is geschreven en niet erg groot is, was het niet zo moeilijk om daar bugs te vinden. De onderzoekers ontdekten dat het mogelijk is de Beacon-communicatie te verstoren. Dit leidde uiteindelijk tot het crashen van de webthread van de server die HTTP-stagers en Beacon-communicatie afhandelt.
Het beveiligingslek biedt de mogelijkheid een DoS-aanval uit te voeren op de servers van de aanvallers en kan de lopende operaties daardoor ernstig verstoren. Hoewel Cobalt Strike elke dag wordt gebruikt voor kwaadaardige aanvallen, is het uiteindelijk een legitiem product, dus heeft SentinelOne de problemen op verantwoorde wijze aan HelpSystems gemeld. De kwetsbaarheden zijn in de laatste release verholpen.
