C’est dans les vieux pots qu’on fait les meilleures confitures. Si les attaques par injections SQL (SQLi) existent depuis une vingtaine d’années, elles n’en restent pas moins toujours utilisées par les hackers pour pénétrer des bases de données. Non sans certains succès. Et l’arrivée d’un nouvel outil à leur intention prouve que l’efficacité de ces vecteurs d’attaques reste pertinente.
Spécialisée dans la veille sécuritaire par l’auto-apprentissage (machine learning), la société Recorded Future vient de découvrir un nouveau scanner de vulnérabilités SQLi. Présenté le 8 avril par un hacker russe sur un forum du dark web, « Katyusha Scanner » combine Arachni Scanner, un outil Open Source de test de pénétration, et la messagerie Telegram réputée pour la sécurisation chiffrer des échanges qu’elle permet (qualité cependant mise en doute). Selon Recorded Future, « le produit, associé à un support exceptionnel et à des mises à jour fréquentes, a immédiatement gagné en popularité et nombreux sont les compliments de clients reconnaissants pour son interface intuitive et directe, ainsi que des performances incroyables ». Un outil visiblement efficace, donc potentiellement ravageur.
Concrètement, Katyusha Scanner permet aux attaquants en herbe de télécharger une liste de sites web cibles et de lancer plusieurs attaques simultanément en les contrôlant par Telegram, détaille la société de sécurité sur son blog. D’où l’origine du nom Katyusha qui désigne un lanceur de plusieurs roquettes simultanément développé par l’Union soviétique durant la Seconde guerre mondiale. « A l’instar de l’arme très mortelle conçue il y a 70 ans, Katyusha Scanner permet aux criminels d’initier des attaques par pénétration à grande échelle contre un nombre important de sites Web ciblés en quelques clics depuis leurs smartphones », affirme le découvreur de l’outil malveillant.
Qui plus est Katyusha Scanner est relativement accessible et potentiellement vite rentabilisable. Il est vendu 500 dollars. Ses concepteurs ont élargit son accès avec une version light proposée depuis le 10 mai à 250 dollars. Depuis la version 0.8 mise en ligne le 26 juin, les offreurs proposent même de louer Katyusha Scanner pour 200 dollars par mois. Pour Recorded Future, « la disponibilité d’un outil très robuste et peu coûteux tel que Katyusha Scanner pour les criminels en ligne ayant des compétences techniques limitées ne fera que renforcer le problème de données compromises rencontré par diverses entreprises, soulignant l’importance des audits réguliers de sécurité des infrastructures ». Il est plus que temps de combler les brèches.
Lire également
Des attaques DDoS de plus de 10 Tbit/s en vue ?
Des chercheurs exfiltrent une clé privée RSA-1024 d’un logiciel de chiffrement
S. Gil (Imperva) :« Entreprises, préparez-vous aux attaques automatisées »
La Cour des comptes appelle à formaliser et à professionnaliser certains aspects du RIE, tout…
La Cour des comptes attire l'attention sur le risque d'affaiblissement d'Etalab, privé, ces dernières années,…
Missions historiques de la Dinum, l'ouverture des données publiques et la promotion des logiciels libres…
Pour développer une version 7B de son modèle Codestral, Mistral AI n'a pas utilisé de…
L’Autorité de la concurrence et des marchés (CMA) britannique ouvre une enquête sur les conditions…
Thomas Gourand est nommé Directeur Général pour la France. Il est chargé du développement de…