IBM met disposition SCMKit, un toolkit open source pour lutter contre les attaques de la chane d’approvisionnement logicielle

IBM met disposition SCMKit, un toolkit open source pour lutter contre les attaques de la chane d'approvisionnement logicielle



La puissance des attaques de la chane logistique logicielle a t amplement dmontre par SolarWinds, mais deux ans plus tard, certaines organisations sont toujours vulnrables grce l’utilisation de systmes de gestion du code source (SCM).

Dans la plupart des cas, l’quipe de piratage thique X-Force Red d’IBM a russi accder aux systmes SCM lors d’une simulation de l’adversaire.

L’accs aux systmes SCM donne aux attaquants la possibilit d’attaquer la chane d’approvisionnement des logiciels et peut faciliter les mouvements latraux et l’escalade des privilges au sein d’une organisation.

Afin de sensibiliser l’abus des systmes SCM et d’encourager la dtection des techniques d’attaque contre les systmes SCM, X-Force Red met disposition une bote outils open source.

SCMKit sera prsent Black Hat USA 2022 Arsenal. Il permet l’utilisateur de spcifier le systme SCM et le module d’attaque utiliser, tout en spcifiant des informations d’identification valides (nom d’utilisateur/mot de passe ou cl API) pour le systme SCM respectif. SCMKit dispose de plusieurs modules permettant d’effectuer la reconnaissance de dpts, de fichiers, de code et d’autres ressources spcifiques divers systmes SCM tels que GitLab Runners. Le kit permet galement aux quipes de scurit d’explorer des lments tels que l’escalade des privilges et l’utilisation de cls SSH pour obtenir la persistance.

« Les modules d’attaque pris en charge comprennent la reconnaissance, l’escalade de privilges et la persistance« , crit Brett Hawkins d’IBM X-Force Red sur le blog de l’entreprise. « D’autres fonctionnalits disponibles dans la version non publique de SCMKit n’ont pas t prises en compte par les dfenseurs, telles que l’usurpation d’identit de l’utilisateur et la recherche intgre de justificatifs. SCMKit a t construit selon une approche modulaire, afin que de nouveaux modules et systmes SCM puissent tre ajouts l’avenir par la communaut de la scurit de l’information. »

Obtenir SCMKit

Source : IBM

Et vous ?

Qu’en pensez-vous ?

Voir aussi :

Alors que 80 % des entreprises utilisent des logiciels open source (OSS), chiffre qui devrait atteindre 99 % l’anne prochaine, seulement 1 % d’entre elles dclare ne pas s’inquiter de la scurit

Des portes drobes ont t trouves dans plus de 90 thmes et plugins WordPress, affectant plus de 360 000 sites actifs, suite une attaque massive de la chane d’approvisionnement

Les attaques de la chane d’approvisionnement des logiciels ont augment de plus de 300 % en 2021 par rapport 2020, d la faible scurit dans les environnements de dveloppement



Source link

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.