La puissance des attaques de la chane logistique logicielle a t amplement dmontre par SolarWinds, mais deux ans plus tard, certaines organisations sont toujours vulnrables grce l’utilisation de systmes de gestion du code source (SCM).
Dans la plupart des cas, l’quipe de piratage thique X-Force Red d’IBM a russi accder aux systmes SCM lors d’une simulation de l’adversaire.
L’accs aux systmes SCM donne aux attaquants la possibilit d’attaquer la chane d’approvisionnement des logiciels et peut faciliter les mouvements latraux et l’escalade des privilges au sein d’une organisation.
Afin de sensibiliser l’abus des systmes SCM et d’encourager la dtection des techniques d’attaque contre les systmes SCM, X-Force Red met disposition une bote outils open source.
SCMKit sera prsent Black Hat USA 2022 Arsenal. Il permet l’utilisateur de spcifier le systme SCM et le module d’attaque utiliser, tout en spcifiant des informations d’identification valides (nom d’utilisateur/mot de passe ou cl API) pour le systme SCM respectif. SCMKit dispose de plusieurs modules permettant d’effectuer la reconnaissance de dpts, de fichiers, de code et d’autres ressources spcifiques divers systmes SCM tels que GitLab Runners. Le kit permet galement aux quipes de scurit d’explorer des lments tels que l’escalade des privilges et l’utilisation de cls SSH pour obtenir la persistance.
« Les modules d’attaque pris en charge comprennent la reconnaissance, l’escalade de privilges et la persistance« , crit Brett Hawkins d’IBM X-Force Red sur le blog de l’entreprise. « D’autres fonctionnalits disponibles dans la version non publique de SCMKit n’ont pas t prises en compte par les dfenseurs, telles que l’usurpation d’identit de l’utilisateur et la recherche intgre de justificatifs. SCMKit a t construit selon une approche modulaire, afin que de nouveaux modules et systmes SCM puissent tre ajouts l’avenir par la communaut de la scurit de l’information. »
Source : IBM
Et vous ?
Qu’en pensez-vous ?
Voir aussi :