SentinelOne rapporteert nieuwe Cobalt Strike DoS-kwetsbaarheid

SentinelOne, leverancier van endpoint-bescherming, laat weten dat het een nieuwe Cobalt Strike DoS-kwetsbaarheid heeft ontdekt. Het beveiligingslek biedt de mogelijkheid een DoS-aanval uit te voeren op de servers van de aanvallers en kan de lopende operaties daardoor ernstig verstoren.

Cobalt Strike is volgens SentinelOne een van de meest populaire aanvalsraamwerken die is ontworpen voor Red Team-operaties. Tegelijkertijd gebruiken veel APT's (advanced persistent threats) en kwaadwillenden het framework. SentinelOne heeft bij klanten talloze aanvallen gezien met Cobalt Strike Beacons. Hoewel deze aanvallen worden voorkomen door de SentinelOne-agent, zijn er gevallen waarin sommige apparaten niet worden beschermd en vervolgens geïnfecteerd raken met een Cobalt Strike Beacon.

Kwetsbaarheden gerapporteerd

SentinelOne wilde daarom een nieuwe manier ontwikkelen om klanten en beveiligingsteams zich te laten verdedigen tegen deze aanvallen door zich te richten op de C2-servers. Hierbij werden verschillende kwetsbaarheden ontdekt, die zijn gerapporteerd in CVE-2021-36798. CVE (Common Vulnerabilities and Exposures) is een databank met informatie over kwetsbaarheden in computersystemen en netwerken.

Er was al een eerder gemelde kwetsbaarheid in Cobalt Strike bekend. In de praktijk maakte die kwetsbaarheid het uitvoeren van externe code op de server mogelijk. Aangezien de code van de server in Java is geschreven en niet erg groot is, was het volgens SentinelOne niet zo moeilijk om daar bugs te vinden. De onderzoekers ontdekten dat het mogelijk is de Beacon-communicatie te verstoren. Dit leidde uiteindelijk tot het crashen van de webthread van de server die HTTP-stagers en Beacon-communicatie afhandelt.

Verstoring lopende operaties

Het nieuwe beveiligingslek biedt de mogelijkheid een DoS-aanval uit te voeren op de servers van de aanvallers en kan de lopende operaties daardoor ernstig verstoren. Hoewel Cobalt Strike elke dag wordt gebruikt voor kwaadaardige aanvallen, is het uiteindelijk een legitiem product, dus heeft SentinelOne de problemen op verantwoorde wijze aan HelpSystems gemeld. De kwetsbaarheden zijn in de laatste release verholpen.