Imperva détecte une montée en puissance des attaques utilisant des outils codés avec le langage Python
Imperva détecte une montée en puissance des attaques utilisant des outils codés avec le langage Python,
Python serait-il le langage de choix des pirates ?
Pour ce mois de septembre, l’index Tiobe tout comme l’index PYPL ont classé le langage de programmation Python parmi le top 3 des langages les plus populaires au monde. Le magazine hebdomadaire britannique The Economist abonde également dans le même sens et soutient qu’au cours des 12 derniers mois, les Américains ont cherché Python sur Google plus souvent que sur Kim Kardashian, une star de la téléréalité.
Les avantages connus de ce langage qui font de lui un langage largement adopté aussi bien par les individus que les entreprises sont sa simplicité et sa flexibilité. Quasiment tous les domaines d’activités peuvent trouver leur compte dans ce langage. La CIA l’a utilisé pour le piratage, Google pour l’exploration de pages Web, Pixar pour la production de films et Spotify pour recommander des chansons. Certains des paquets les plus populaires tirent parti de l’apprentissage automatique, en recourant à de grandes quantités de données pour sélectionner des modèles qui seraient autrement imperceptibles.
Face aux grandes possibilités offertes par ce langage, même les pirates semblent également s'y intéresser. Pour se faire une idée claire de la chose, Imperva, l’entreprise américaine investie dans la fourniture de logiciels et services de cybersécurité, s’est penchée sur l’usage de Python dans le monde obscur des acteurs malveillants. Et pour y arriver, l’entreprise s’est tournée vers GitHub, la plateforme de gestion des dépôts de projets. Après avoir effectué un tour d’horizon sommaire des dépôts qu’elle a pu consulter, Imperva souligne que plus de 20 % des dépôts GitHub qui implémentent un outil d’attaque ou une preuve de concept d’exploit sont écrits avec Python. De même dans presque tous les sujets liés à la sécurité dans GitHub, la majorité des référentiels sont écrits en Python, y compris des outils tels que w3af, Sqlmap et même le fameux outil AutoSploit.
Au niveau des clients identifiés par Imperva lors des incidents de sécurité, Imperva note que plus de 25 % des clients identifiés étaient des outils basés sur Python et utilisés par des tiers malveillants.
Par ailleurs, en examinant l’utilisation de Python dans les attaques contre les sites protégés par Imperva, l’entreprise de sécurité rapporte qu’un grand nombre de sites, jusqu’à 77 %, ont été attaqués par un outil basé sur Python, et dans plus du tiers des cas, un outil basé sur Python fut responsable de la majorité des attaques quotidiennes.
« Contrairement à d’autres clients, en Python, nous voyons une multitude de vecteurs d’attaques et l’utilisation des exploits connus », souligne Imperva. Au niveau des modules, Urllib et Python sont majoritairement utilisés par les pirates pour lancer des requêtes lors des attaques. « L’utilisation du nouveau module, Async IO, vient tout juste de commencer, ce qui est parfaitement logique si l’on considère les vastes possibilités offertes par la bibliothèque dans le domaine des DDoS de couche 7, surtout lorsque vous utilisez une technique "Spray N ’Pray" », éclaire Imperva.
Pour ce qui concerne les exploits, l’entreprise de sécurité déclare que les deux attaques les plus populaires des deux derniers mois ont utilisé une vulnérabilité d’exécution de code à distance (abrégée RCE en anglais) basée sur PHP dans le cadre de PHPUnit (CVE-2017-9841), et une vulnérabilité d’exécution de code à distance lancée contre le framework Joomla (CVE-2015-8562). À ce sujet, Imperva déclare avoir détecté après un examen de tous les frameworks ciblés par les attaques utilisant des outils Python que les attaques qui se démarquent sont celles qui ont ciblé les frameworks Struts, WordPress, Joomla et Drupal, ce qui n’est pas surprenant, car ce sont actuellement certains des frameworks les plus populaires.
Étant donné que Python nécessite des compétences minimales en codage et facilite l’écriture de scripts, il existe une multitude de vecteurs d’attaques basés sur Python qui sont utilisés par les pirates. La valeur du paramètre HTTP le plus populaire utilisée lors d’attaques et responsable d’environ 30 % de toutes les valeurs de paramètre utilisées, est liée à une tentative du chargement de porte dérobée via une vulnérabilité PHP Unserialize dans Joomla en utilisant l’objet JDatabaseDriverMysqli. La charge utile téléchargée par le backdoor est hébergée sur ICG-AuthExploiterBot. Une charge utile récurrente qui s’est avérée être une tentative d’infection par Coinbitminer a également été détectée par Imperva.
Pour se prémunir de ces attaques basées sur Python, Imperva suggère de ne pas négliger les pratiques de sécurité de base en gardant la sécurité à l’esprit lors du développement, en maintenant votre système à jour par l’application des correctifs disponibles et enfin en évitant toute pratique considérée comme non sécurisée.
Source : Imperva
Et vous ?
Quel est votre avis sur les découvertes d’Imperva ? Reflètent-elles la réalité ?
Répondre avec citation
Envoyé par Olivier Famien
Partager