Après nos récentes rétrospectives de fin d’année, il est temps de revenir en arrière – cette fois sur certains des outils de piratage open source les plus convaincants sortis au cours du dernier trimestre de 2021.
Les arsenaux de testeurs de plumes, de chercheurs et de chasseurs de bogues ont été renforcés pour 2022 par de nouveaux outils permettant de détecter les attaques de confusion de dépendance, de trouver de nouvelles techniques de contrebande de requêtes HTTP et de découvrir des clés privées et publiques potentiellement dangereuses.
Lisez la suite pour découvrir certains des meilleurs outils de piratage qui ont été lancés à la fin de l’année dernière.
Le « Pip-audit » soutenu par Google sonde les environnements Python à la recherche de packages vulnérables
Les développeurs d’un outil soutenu par Google qui analyse les environnements Python à la recherche de packages présentant des vulnérabilités connues « voulaient créer un outil sans aucune condition financière ou de licence ».
William Woodruff, chef de projet de la société de cybersécurité basée à New York Trail of Bits, a déclaré La gorgée quotidienne ils « voulaient également quelque chose qui fonctionne bien pour les humains et les machines : de nombreux outils (comme Dependabot, qui est également génial) se verrouillent étroitement dans les flux de travail des utilisateurs ou automatisés ».
‘Pip-audit’ exploite l’API PyPI JSON pour comparer les dépendances avec la base de données Python Packaging Advisory ou alternativement la base de données Open Source Vulnerabilities (OSV).
En savoir plus sur l’outil pip-audit
Sandbox aide à déterminer si OWASP ModSecurity CRS peut « gagner du temps » face aux nouveaux CVE
Le nouveau bac à sable pour tester les charges utiles par rapport à l’ensemble de règles de base (CRS) ModSecurity OWASP ne nécessite aucune installation de boîtier ModSecurity.
Cela peut aider les personnes confrontées à un nouveau CVE à savoir si CRS – un ensemble de règles génériques de détection d’attaques à utiliser avec ModSecurity ou des pare-feu d’applications Web (WAF) compatibles – « pourrait leur faire gagner du temps », selon les responsables du projet.
Ils ont également déclaré que le CRS Sandbox peut aider à sécuriser le projet CRS lui-même, « puisque nous pouvons tester rapidement les charges utiles par rapport à différentes versions et backends pour confirmer les problèmes de GitHub (faux négatifs, faux positifs). »
En savoir plus sur le CRS Sandbox
L’outil de fuzzing différentiel découvre de nouvelles techniques de contrebande de requêtes HTTP
Un nouveau fuzzer HTTP basé sur la grammaire met au jour de nouvelles techniques de contrebande de requêtes HTTP en générant des requêtes HTTP et en appliquant des mutations afin de déclencher des bizarreries potentielles de traitement du serveur.
Des chercheurs de la Northeastern University de Boston ont développé « T-Reqs » avec l’aide d’Akamai et ont déclaré avoir rapidement découvert une multitude de nouvelles vulnérabilités avec cet outil.
Leurs recherches se sont concentrées sur la contrebande de requêtes HTTP en tant que problème d’interaction système impliquant au moins deux processeurs HTTP sur le chemin du trafic.
En savoir plus sur l’outil de fuzzing T-Reqs
Driftwood détecte les clés de chiffrement potentiellement dangereuses
« Driftwood » est utilisé pour découvrir des clés privées et publiques divulguées, couplées et potentiellement dangereuses.
Truffle Security a développé l’outil pour permettre aux « professionnels de la sécurité de savoir immédiatement si une clé de chiffrement identifiée est une clé sensible » dans les référentiels en ligne.
« La première étape pour remédier aux vulnérabilités est de les connaître », a déclaré le co-fondateur de Truffle Security, Dylan Ayrey. La gorgée quotidienne.
« Si les gens commettent des clés SSL aujourd’hui, il est difficile de le savoir. Cet outil aide les professionnels de l’infosec à trouver rapidement ces vulnérabilités afin qu’ils puissent obtenir la révocation des certificats concernés dès que possible. »
En savoir plus sur l’outil Driftwood
Dependency Combobulator combat les attaques de confusion d’espace de noms
Dependency Combobulator détecte les attaques par confusion de dépendances, qui sévissent dans l’écosystème des logiciels open source depuis la divulgation de la technique en février 2021.
Dévoilé à Black Hat Europe 2021, le cadre modulaire basé sur Python peut être intégré dans le cycle de vie du développement logiciel (SDLC) et les flux de travail CI/CD, détectant les packages malveillants lors des phases de validation, de construction ou de publication du SDLC.
Moshe Zioni, vice-président de la recherche sur la sécurité chez le fournisseur DevSecOps Apiiro, qui a développé la boîte à outils, a déclaré que Dependency Combobulator peut « s’attaquer à des scénarios courants, qui peuvent être divers », et être adapté pour détecter les variations d’attaques émergentes.
En savoir plus sur Combobulateur de dépendances
Le vénérable outil d’audit de mot de passe L0phtCrack est open source
L’outil d’audit de mot de passe du système Windows L0phtCrack a été ouvert en octobre après que le vénérable utilitaire soit retombé entre les mains des propriétaires d’origine en juin à la suite de l’effondrement de son acquisition par Terahash.
L0phtCrack, qui a été lancé il y a plus de 20 ans, peut auditer les mots de passe Active Directory et importer et déchiffrer les mots de passe de Linux, BSD, Solaris et AIX (systèmes basés sur Unix).
Chris Wysopal, un ancien membre du collectif de hackers L0pht Heavy Industries, qui a construit l’outil, a déclaré La gorgée quotidienne: « Je pense que cela pourrait être un cadre pour plus qu’un simple cassage de mot de passe, plutôt l’automatisation générale des tâches d' »audit de sécurité » couramment effectuées. »
En savoir plus sur l’utilitaire L0phtCrack
