Cobalt Strike 远程代码执行漏洞安全风险通告

安全通告

近日，监测到 Cobalt Strike 远程代码执行漏洞 ，当攻击者可访问 Beacon 的监听器时，可以在连接Beacon的listener时使用错误的用户名，触发XSS，造成远程代码执行。鉴于这些漏洞影响范围极大，建议客户尽快做好自查及防护。

漏洞名称	Cobalt Strike 远程代码执行漏洞
公开时间	2022-09-21	更新时间	2022-09-21
CVE编号	CVE-2022-39197	其他编号	QVD-2022-14283
威胁类型	代码执行	技术类型	跨站脚本攻击(XSS)
厂商	HelpSystems	产品	Cobalt Strike
风险等级
风险评级		风险等级
高危		蓝色（一般事件）
现时威胁状态
POC状态	EXP状态	在野利用状态	技术细节状态
未发现	未发现	未发现	未公开
漏洞描述	当攻击者可访问 Beacon 的监听器时，可以在连接Beacon的listener时使用错误的用户名，触发XSS，造成远程代码执行。
影响版本	Cobalt Strike <= 4.7
不受影响版本	Cobalt Strike >= 4.7.1
其他受影响组件	无

威胁评估

漏洞名称	Cobalt Strike 远程代码执行漏洞
CVE编号	CVE-2022-39197	其他编号		QVD-2022-14283
CVSS 3.1评级	高危	CVSS 3.1分数		9.8
CVSS向量	访问途径（AV）		攻击复杂度（AC）
	网络		低
	所需权限（PR）		用户交互（UI）
	无		不需要
	影响范围（S）		机密性影响（C）
	不改变		高
	完整性影响（I）		可用性影响（A）
	高		高
危害描述	攻击者可以利用该漏洞，发送恶意请求，触发XSS，造成远程代码执行。从而控制受害机器，下发恶意程序

处置建议

升级至 Cobalt Strike 4.7.1或更高版本。

参考资料

[1]https://www.cobaltstrike.com/blog/out-of-band-update-cobalt-strike-4-7-1/

热心网友4

感谢分享这个高危漏洞的详细通告。CVE-2022-39197 的 CVSS 9.8 分确实值得重视，攻击者只要能访问 Beacon 监听器，利用构造的用户名触发 XSS 就能远程执行代码，影响面很广。建议还在使用 Cobalt Strike 4.7 及以下版本的朋友尽快升级到 4.7.1 或更高版本，及时修复这个风险。