CVE-2022-42948

Суть уязвимости

Уязвимость CVE-2022-42948 представляет собой критическую ошибку в графическом интерфейсе (UI) Cobalt Strike, построенном на библиотеке Java Swing. Проблема заключается в некорректной обработке HTML-тегов в определенных полях интерфейса.

Злоумышленник (или исследователь безопасности) может отправить специально сформированную полезную нагрузку через Beacon (например, в поле имени пользователя, процесса или других метаданных), которая при отображении в консоли управления Cobalt Strike приведет к выполнению произвольного кода (RCE) на стороне клиента (Team Client). Это возможно благодаря тому, что компоненты Java Swing могут интерпретировать HTML-контент, включая теги <object>, что позволяет загружать и исполнять вредоносные Java-классы.

Как исправить

Основным и единственным надежным способом устранения уязвимости является обновление Cobalt Strike до версий, в которых данная функциональность была исправлена или отключена.

1. Обновите Cobalt Strike до версии 4.7.2 или выше.
2. Используйте встроенную утилиту обновления:

./update

1. Если автоматическое обновление недоступно, скачайте актуальный дистрибутив через лицензионный портал Fortra и переустановите клиентскую и серверную части.

Временные меры

Если немедленное обновление невозможно, необходимо минимизировать риск эксплуатации, отключив автоматический рендеринг HTML в Java Swing.

1. Запускайте клиент Cobalt Strike с параметром, отключающим поддержку HTML в компонентах Swing:

java -Djava.awt.headless=false -Dswing.html.disable=true -jar cobaltstrike.jar

1. Ограничьте доступ к Teamserver (порт 50050 по умолчанию) только для доверенных IP-адресов с помощью межсетевого экрана, чтобы предотвратить подключение недоверенных клиентов.

2. Используйте актуальную версию Java Runtime Environment (JRE) с установленными последними патчами безопасности, однако помните, что это не устраняет саму логическую ошибку в коде Cobalt Strike.