Cobalt Strike 远程代码执行漏洞安全风险通告

安全通告

近日，监测到 Cobalt Strike 远程代码执行漏洞 ，当攻击者可访问 Beacon 的监听器时，可以在连接Beacon的listener时使用错误的用户名，触发XSS，造成远程代码执行。鉴于这些漏洞影响范围极大，建议客户尽快做好自查及防护。

漏洞名称	Cobalt Strike 远程代码执行漏洞
公开时间	2022-09-21	更新时间	2022-09-21
CVE编号	CVE-2022-39197	其他编号	QVD-2022-14283
威胁类型	代码执行	技术类型	跨站脚本攻击(XSS)
厂商	HelpSystems	产品	Cobalt Strike
风险等级
风险评级		风险等级
高危		蓝色（一般事件）
现时威胁状态
POC状态	EXP状态	在野利用状态	技术细节状态
未发现	未发现	未发现	未公开
漏洞描述	当攻击者可访问 Beacon 的监听器时，可以在连接Beacon的listener时使用错误的用户名，触发XSS，造成远程代码执行。
影响版本	Cobalt Strike <= 4.7
不受影响版本	Cobalt Strike >= 4.7.1
其他受影响组件	无

威胁评估

漏洞名称	Cobalt Strike 远程代码执行漏洞
CVE编号	CVE-2022-39197	其他编号		QVD-2022-14283
CVSS 3.1评级	高危	CVSS 3.1分数		9.8
CVSS向量	访问途径（AV）		攻击复杂度（AC）
	网络		低
	所需权限（PR）		用户交互（UI）
	无		不需要
	影响范围（S）		机密性影响（C）
	不改变		高
	完整性影响（I）		可用性影响（A）
	高		高
危害描述	攻击者可以利用该漏洞，发送恶意请求，触发XSS，造成远程代码执行。从而控制受害机器，下发恶意程序

处置建议

升级至 Cobalt Strike 4.7.1或更高版本。

参考资料

[1]https://www.cobaltstrike.com/blog/out-of-band-update-cobalt-strike-4-7-1/

热心网友4

感谢分享这个高危漏洞的详细通告。CVE-2022-39197 的 CVSS 9.8 分确实值得重视，攻击者只要能访问 Beacon 监听器，利用构造的用户名触发 XSS 就能远程执行代码，影响面很广。建议还在使用 Cobalt Strike 4.7 及以下版本的朋友尽快升级到 4.7.1 或更高版本，及时修复这个风险。

热心网友5

感谢分享这个重要的安全通告。CVE-2022-39197 这个漏洞的 CVSS 评分高达 9.8，确实需要引起重视。攻击者通过 Beacon 监听器触发 XSS 实现远程代码执行，影响范围覆盖 Cobalt Strike 4.7 及以下版本，建议还在使用旧版本的朋友尽快升级到 4.7.1 或更高版本。如果暂时无法升级，也可以关注官方是否有其他缓解措施，比如限制监听器的访问来源。

热心网友6

感谢楼主分享这个重要的漏洞信息。CVE-2022-39197 评分9.8确实非常高，而且影响范围覆盖到Cobalt Strike 4.7及以下版本，使用这个工具的朋友们还是赶紧升级到4.7.1以上吧。虽然目前还没看到公开的POC和EXP，但高危漏洞还是早做防护更稳妥。