Vous savez ce qui n’est pas « sexy » pour les chercheurs en sécurité? Mainframe.
Ces systèmes hautes performances généralement conçus pour l’informatique à grande échelle sont le dernier bastion des tests et de la recherche en matière de sécurité, car ils sont généralement considérés comme la plate-forme la plus sécurisée au monde. C’est pourquoi ces systèmes sont au cœur de presque toutes les transactions critiques sur lesquelles les gens ordinaires comptent chaque jour – y compris les virements bancaires et les transactions aux guichets automatiques, la réservation de vols et le traitement de millions de paiements dans les points de vente du monde entier.
Mais ce qui n’aide pas l’attrait, c’est que les mainframes sont notoirement difficiles à accéder, ce qui rend les tests de sécurité difficiles, voire impossibles.
Ayoub Elaassal, auditeur en sécurité au sein du cabinet de conseil Wavestone, a été l’un des rares chanceux à avoir pu accéder à un ordinateur central pour un audit. Il utilisait z/OS, un système d’exploitation spécialisé construit par IBM pour ses machines de la série z.
Il ne lui a pas fallu trop de temps pour trouver une vulnérabilité qui, si elle était exploitée, aurait pu lui donner un accès root à un mainframe et à ses données vitales et sensibles.
« Nous pourrions potentiellement compromettre l’ensemble du système, et à tout ce que nous voulons like comme intercepter des transactions et émettre des virements », m’a-t-il dit au téléphone la semaine dernière.
Elaassal a constaté que les bibliothèques système clés, ou répertoires – connus sous le nom d’installations de programme autorisées (APF), pouvaient dans de nombreux cas être mis à jour par l’un des utilisateurs du mainframe. Selon ses estimations, jusqu’à la moitié de tous les audits montrent des bibliothèques accessibles pouvant être mises à jour, a-t-il déclaré, et exposent donc les mainframes affectés à un risque d’attaque.
Elaassal a écrit plusieurs scripts qui peuvent faire passer les privilèges d’un utilisateur au niveau « root » le plus élevé. L’un des scripts compile une charge utile et la place dans l’un de ces répertoires sensibles, devenant ainsi une partie fiable du système lui-même. La charge utile malveillante retourne alors quelques octets et accorde à l’utilisateur des privilèges « root » ou « spéciaux » sur le mainframe.
« Une fois que vous avez ce genre de levier that cette porte dérobée you vous pouvez faire ce que vous voulez », a-t-il expliqué. « Vous pouvez changer de mémoire, révoquer des utilisateurs, arrêter la machine you vous pouvez tout faire. »
Elaassal devait donner une conférence à la conférence Black Hat à Las Vegas, mais s’est vu refuser l’entrée aux États-Unis. Ses outils sont open-source et sont disponibles sur GitHub.
La bonne nouvelle est que ce n’est pas une attaque complètement silencieuse. Parce que le script modifie l’autorisation d’un utilisateur, c’est quelque chose qu’une entreprise doit s’assurer qu’elle surveille, a déclaré Elaassal.
« Avec l’outil, vous obtenez simplement root », a-t-il déclaré. « Si quelqu’un devient administrateur tout d’un coup à 5 heures du matin, ce n’est pas normal. »
Elaassal a déclaré que la menace était limitée à ceux qui avaient accès au mainframe, mais a noté que toute personne disposant d’un accès à distance pouvait mener l’attaque par escalade de privilèges, y compris le personnel distant ou de succursale. « Vous n’avez pas besoin d’être physiquement sur l’ordinateur central », a-t-il déclaré. « Lorsque vous allez à la banque, chaque agent bancaire a accès au mainframe. »
« Si c’est une banque, vous pouvez faire des virements bancaires, du blanchiment d’argent, ajouter zéro à un compte bancaire », a-t-il déclaré. « Vous pouvez fermer l’ordinateur central et perdre l’argent de la banque real de l’argent réel, qui peut représenter des millions pour une grande banque. »
Avec les privilèges root, il a dit: « vous pouvez tout effacer. »
Je lui ai demandé pourquoi il publierait alors des outils qui augmenteraient les privilèges d’un utilisateur à un niveau dommageable. Il a déclaré que la responsabilité d’assurer des autorisations d’utilisateur responsables et la sécurité du mainframe incombait directement au propriétaire, et non à quelque chose qu’IBM peut facilement réparer.
« La sécurité sur un ordinateur central était un gars avec une arme à feu », a-t-il plaisanté. » Désormais, ces fichiers systèmes sensibles sont accessibles par défaut par des centaines de milliers d’utilisateurs sur un ordinateur central. »
» Les entreprises ont du mal et du temps à mettre en place des règles appropriées pour définir exactement qui a accès à quoi », a-t-il ajouté. « Ils s’en sortent généralement avec « personne ne sait comment le pirater de toute façon, alors pourquoi s’embêter? »Maintenant, ils ne peuvent plus dire ça. »
« C’est vraiment aux clients de contrôler l’accès », a-t-il déclaré.