【漏洞预警】CobaltStriketeam服务被爆RCE漏洞，尽快升级最新版!

安全客点评

前段时间Metasploit刚爆出反序列化漏洞导致可远程非授权执行代码（http://bobao.360.cn/learning/detail/3047.html）,今天又爆出Cobalt Strike team服务RCE漏洞，看来安全人员在使用这些优秀的开源工具进行渗透测试的时候，也要时刻小心那双无形的手。

概要

    昨日，Cobalt Strike team服务器爆出一个远程代码执行漏洞。用户可以使用内置的更新程序./update更新这个紧急热补丁。最新可下载的试用版本已经安装了该热补丁。

Strategic Cyber LLC（战略网络有限责任公司）正在为解决这一问题而努力准备一次全面更新。并且这次的全面更新将会尽快向广大用户提供。

 发生了什么？

    Strategic Cyber LLC（网络战略有限责任公司）收到一份来自第三方的关于活跃漏洞的可疑报告。Strategic Cyber LLC对该报告进行了调查，最终认定这是一个远程代码执行漏洞的可能性非常高。

 关于该漏洞

漏洞起因源于在Beacon以及SSH有效载荷执行文件下载功能时，参数处理不当，导致允许目录遍历攻击。

通过这个漏洞，黑客可以连接到Cobalt Strike 的侦听器，下载有效的载荷阶段，使用所下载的阶段伪造一个会话，并且制作一个消息，迫使Cobalt Strike写一个文件到任意位置。

 潜在的感染指标

这些指标可能表明是一种探索性尝试：

1.在这份指标报告中有一条GET请求/aaaa。虽然这是可以拦截到载荷阶段的有效URI链接，但是Cobalt Strike在下载有效载荷阶段时随机化了该URI链接.

2.活动报告显示了 .config下载路径，/etc/crontab，以及/etc/cron.d/.hourly。

3.报告者指出，攻击者清除了服务器上的日志，也清除了下载的文件，并且清除了Cobalt Strike的数据模型和日志文件。

 缓解措施

试用版用户：下载使用最新安装了热补丁的试用版本。

一般用户：运行内置的更新程序来升级到含有热补丁的CS版本。

如果你的Beacon已经是Cobalt Strike 3.5版本，在更新版本的时候你将不会受到任何影响。该补丁已经在控制器中了。

如果你想要验证你是否已经安装了热补丁，你可以点击帮助（Help）->系统信息（System Information）。若已经安装该补丁，Cobalt Strike将会显示他的版本为20160928。点击帮助（Help）->关于（About）将会显示3.5-hf1。

 什么版本的Cobalt Strikes受影响？

所有的Cobalt Strike 3.5 及其以下没有打过热补丁的版本将会受到感染。

这个问题很可能也存在于 Cobalt Strike 2.x及其以下版本中。

 下一步

    网络战略有限责任公司（Strategic Cyber LLC）将会尽快进行一次全面更新以解决这个问题。随着更多信息的获得，Strategic Cyber LLC将会在两个地方进行公开：

1.在这个博客（http://blog.cobaltstrike.com）更新帖子。

2.公司也会在发出的技术说明邮件列表里公布。

安全客也会随时跟进该漏洞细节的披露进展。

 更新日志

最初公告：28 September 2016, 7:05pm