IBM met à disposition SCMKit, un toolkit open source pour lutter contre les attaques de la chaîne d'approvisionnement logicielle, afin d'encourager la détection des techniques d'attaque contre les systèmes SCM

La puissance des attaques de la chaîne logistique logicielle a été amplement démontrée par SolarWinds, mais deux ans plus tard, certaines organisations sont toujours vulnérables grâce à l'utilisation de systèmes de gestion du code source (SCM).

Dans la plupart des cas, l'équipe de piratage éthique X-Force Red d'IBM a réussi à accéder aux systèmes SCM lors d'une simulation de l'adversaire.

L'accès aux systèmes SCM donne aux attaquants la possibilité d'attaquer la chaîne d'approvisionnement des logiciels et peut faciliter les mouvements latéraux et l'escalade des privilèges au sein d'une organisation.

Afin de sensibiliser à l'abus des systèmes SCM et d'encourager la détection des techniques d'attaque contre les systèmes SCM, X-Force Red met à disposition une boîte à outils open source.

SCMKit sera présenté à Black Hat USA 2022 Arsenal. Il permet à l'utilisateur de spécifier le système SCM et le module d'attaque à utiliser, tout en spécifiant des informations d'identification valides (nom d'utilisateur/mot de passe ou clé API) pour le système SCM respectif. SCMKit dispose de plusieurs modules permettant d'effectuer la reconnaissance de dépôts, de fichiers, de code et d'autres ressources spécifiques à divers systèmes SCM tels que GitLab Runners. Le kit permet également aux équipes de sécurité d'explorer des éléments tels que l'escalade des privilèges et l'utilisation de clés SSH pour obtenir la persistance.

Nom : zPcwJR8d.jpg
Affichages : 1384
Taille : 595,2 Ko

"Les modules d'attaque pris en charge comprennent la reconnaissance, l'escalade de privilèges et la persistance", écrit Brett Hawkins d'IBM X-Force Red sur le blog de l'entreprise. "D'autres fonctionnalités disponibles dans la version non publique de SCMKit n'ont pas été prises en compte par les défenseurs, telles que l'usurpation d'identité de l'utilisateur et la recherche intégrée de justificatifs. SCMKit a été construit selon une approche modulaire, afin que de nouveaux modules et systèmes SCM puissent être ajoutés à l'avenir par la communauté de la sécurité de l'information."

Obtenir SCMKit

Source : IBM

Et vous ?

Qu'en pensez-vous ?

Voir aussi :

Alors que 80 % des entreprises utilisent des logiciels open source (OSS), chiffre qui devrait atteindre 99 % l'année prochaine, seulement 1 % d'entre elles déclare ne pas s'inquiéter de la sécurité

Des portes dérobées ont été trouvées dans plus de 90 thèmes et plugins WordPress, affectant plus de 360 000 sites actifs, suite à une attaque massive de la chaîne d'approvisionnement

Les attaques de la chaîne d'approvisionnement des logiciels ont augmenté de plus de 300 % en 2021 par rapport à 2020, dû à la faible sécurité dans les environnements de développement