Критическая RCE-уязвимость обнаружена в Cobalt Strike

Cobalt Strike XSS межсайтовый скриптинг уязвимость RCE IBM X-Force IBM HelpSystems HTML
Злоумышленник может незаметно внедриться в компьютер жертвы с помощью HTML-тегов.

Разработчик инструмента Cobalt Strike представляет собой фреймворк для проведения тестов на проникновение, позволяющий доставить на компьютер жертвы полезную нагрузку и управлять ею. Злоумышленники могут использовать Cobalt Strike для развертывания атак с расширенными постоянными угрозами (APT) против вашей организации.
"
data-html="true" data-original-title="Cobalt Strike"
>Cobalt Strike, компания HelpSystems,
выпустил внеплановое обновление
безопасности для устранения RCE-уязвимости, позволяющей злоумышленнику получить контроль над целевыми системами.
Ошибка CVE-2022-42948 затрагивает Cobalt Strike версии 4.7.1 и связана с неполным патчем, выпущенным 20 сентября 2022 года для устранения
уязвимости межсайтового скриптинга
(XSS). Недостаток может привести к удаленному выполнению кода. Исследователи IBM X-Force
заявили , что XSS (Cross Site Scripting, межсайтовый скриптинг) – один из типов уязвимостей компьютерной системы, используя которую хакер может внедрить в генерируемую скриптами на сервере HTML-страницу произвольный код. Специфика хакерских атак, с использованием XSS, заключается в том, что вместо атаки, нацеленной на сервер, мошенники используют сервер в качестве средства атаки на клиента.
Обычно XSS-атаки направлены на хищение личных данных, таких как cookies, паролей и пр. Такая атака также может внедрять код скриптов и ссылок на web-страницы.
Ранее программисты не уделяли должного внимания XSS-атакам, так они считались неопасными. Однако на web-странице или в HTTP-Cookie могут содержаться потенциально важные данные (к примеру, идентификатор сессии администратора). На популярный сайт при помощи XSS уязвимости можно осуществить DDoS-атаку.
"
data-html="true" data-original-title="XSS"
>XSS-уязвимость может быть вызвана манипулированием некоторыми полями ввода пользовательского интерфейса на стороне клиента, имитацией регистрации имплантата Cobalt Strike или подключением имплантата Cobalt Strike, работающего на хосте.
Однако
было обнаружено , что удаленное выполнение кода может быть совершено в определенных случаях с помощью среды Java Swing, набора инструментов графического пользовательского интерфейса, который используется для разработки Cobalt Strike.Некоторые компоненты в Java Swing автоматически интерпретируют любой текст как HTML-контент, если он начинается с тега «html». Отключение автоматического анализа тегов «html» в клиенте достаточно, чтобы избежать этого поведения.
Это означает, что киберпреступник может использовать HTML-тег «