IBMは10月17日(米国時間)、「Analysis of a Remote Code Execution (RCE) Vulnerability in Cobalt Strike 4.7.1」において、「Cobalt Strike 4.7.1」にリモートコード実行(RCE: Remote Code Execution)の脆弱性が存在すると伝えた。Cobalt Strike 4.7にリモートコード実行の脆弱性が発見されたため、この欠陥に対応したCobalt Strike 4.7.1がリリースされている。しかしながら、IBMの解析の結果、Cobalt Strike 4.7.1のアップデートではリモートコード実行の脆弱性を軽減するのに不十分であることが明らかとなった。
-
Analysis of a Remote Code Execution (RCE) Vulnerability in Cobalt Strike 4.7.1
Cobalt Strikeは、HelpSystemsが開発しているコマンド&コントロール(C2: Command and Control)フレームワーク。クラックされたバージョンのCobalt Strikeは、ランサムウェア運営者やスパイ活動を目的とする持続的標的型攻撃(APT: Advanced Persistent Threat)グループなどによって頻繁に悪用されている。
2022年9月20日にHelpSystemsはCobalt Strike 4.7で発見された脆弱性を修正するため、Cobalt Strike 4.7.1を公開。この脆弱性はクロスサイトスクリプティング(XSS: Cross Site Scripting)の脆弱性とされており、CVE-2022-39197として特定されている。深刻度がCVSSv3スコア値6.1でMedium(警告)と位置づけられているこの脆弱性がリモートコード実行につながるとされていた。
IBMのセキュリティインテリジェンスチームであるX-Forceが、CVE-2022-39197の脆弱性を参考に修正されたCobalt Strike 4.7.1の調査を行ったところ、この脆弱性の影響を軽減できていないことがわかった。ユーザ入力からSwingコンポーネントを作成するとクラスパス内に任意のJavaオブジェクトを作成でき、そのセッターメソッドを呼び出すことで特定のケースでリモートコードの実行につながる可能性があることが発見されている。
この新たに発見されたリモートコード実行の脆弱性はCVE-2022-42948として要求されており、パッチの開発を支援するために技術的な詳細がHelpSystemsに提供されている。
