AutoSploit : un pas de plus vers l'industrialisation des attaques
Ce script rédigé en Python combine la puissance de Shodan avec celle de Metasploit pour automatiser la compromission d'hôtes accessibles sur Internet.
Les script kiddies, ces pirates en culotte courte, vont-ils s’en donner à cœur-joie ? C’est le risque lié à la mise à disposition d’AutoSploit, par un auteur anonyme. Hébergé sur GitHub et librement accessible à tous, ce script Python pourrait s’avérer redoutablement puissant.
De fait, comme son auteur l’explique, AutoSploit « tente d’automatiser l’exploitation d’hôtes distants ». Il s’appuie pour cela sur le moteur de recherche spécialisé Shodan : il utilise son API pour identifier ses cibles potentielles, sur la base de requêtes permettant de centrer la recherche sur des plateformes spécifiques. De là, « une liste de candidats peut être récoltée », relève l’auteur.
De nombreux outils permettent de solliciter Shodan à la recherche d’hôtes précis, de manière tout aussi sélective qu’automatique. L’originalité d’AutoSploit est donc ailleurs : dans l’intégration avec le framework d’exploitation de vulnérabilités MetaSploit.
L’auteur d’AutoSploit, qui répond au pseudonyme VectorSEC sur Twitter, explique qu’une fois les cibles établies, le composant « exploit » de son script passe à l’action, « tentant d’exploiter ces cibles en exécutant une série de modules Metasploit », des modules sélectionnés de manière « programmée » en comparant leur nom à la requête initiale.
Mais il est également possible d’exécuter tous les modules permettant un type d’attaque précis. Surtout, « les modules ont été sélectionnés pour faciliter l’exécution de code à distance » et tenter de déposer des implants permettant la prise de contrôle à distance.
I completely agree with the criticism. Exploits that I discovered and disclosed are now used to operate gigantic botnets. Giving script kiddies the ability to own hundreds of thousands of devices is a BAD idea.
— Amit Serper (@0xAmit) January 31, 2018
La publication d’AutoSploit n’a pas manqué de déclencher de vifs débats. Certes, Metasploit avait déjà contribué à abaisser la barre à l’entrée dans la cour des pirates. Mais il s’utilisait principalement de manière ciblée. Avec AutoSploit, une nouvelle étape est franchie, comme le relève le chercheur Amit Serper : pour lui, « donner à des script kiddies le moyen de compromettre des milliers d’appareils est une mauvaise idée ».
Richard Bejtlich ne dit pas autre chose : « il n’y a aucune raison légitime de mettre l’exploitation de systèmes publiques, en masse, à la portée de script kiddies. Ce n’est pas parce que l’on peut faire quelque chose qu’il est sage de le faire ».
Certes, reconnaît Kim Zetter, « il y a l’argument selon lequel ceci va pousser en faveur de l’application des correctifs ». Las, comme il le rappelle également, « nous savons que les gens n’appliquent de toute façon pas les correctifs ».