Katyusha Scanner simplifie les attaques par injections SQL

C’est dans les vieux pots qu’on fait les meilleures confitures. Si les attaques par injections SQL (SQLi) existent depuis une vingtaine d’années, elles n’en restent pas moins toujours utilisées par les hackers pour pénétrer des bases de données. Non sans certains succès. Et l’arrivée d’un nouvel outil à leur intention prouve que l’efficacité de ces vecteurs d’attaques reste pertinente.

Spécialisée dans la veille sécuritaire par l’auto-apprentissage (machine learning), la société Recorded Future vient de découvrir un nouveau scanner de vulnérabilités SQLi. Présenté le 8 avril par un hacker russe sur un forum du dark web, « Katyusha Scanner » combine Arachni Scanner, un outil Open Source de test de pénétration, et la messagerie Telegram réputée pour la sécurisation chiffrer des échanges qu’elle permet (qualité cependant mise en doute). Selon Recorded Future, « le produit, associé à un support exceptionnel et à des mises à jour fréquentes, a immédiatement gagné en popularité et nombreux sont les compliments de clients reconnaissants pour son interface intuitive et directe, ainsi que des performances incroyables ». Un outil visiblement efficace, donc potentiellement ravageur.

Attaques en rafales

Concrètement, Katyusha Scanner permet aux attaquants en herbe de télécharger une liste de sites web cibles et de lancer plusieurs attaques simultanément en les contrôlant par Telegram, détaille la société de sécurité sur son blog. D’où l’origine du nom Katyusha qui désigne un lanceur de plusieurs roquettes simultanément développé par l’Union soviétique durant la Seconde guerre mondiale. « A l’instar de l’arme très mortelle conçue il y a 70 ans, Katyusha Scanner permet aux criminels d’initier des attaques par pénétration à grande échelle contre un nombre important de sites Web ciblés en quelques clics depuis leurs smartphones », affirme le découvreur de l’outil malveillant.

Dans sa version pro, Katyusha Scanner permet, en plus des identifications de cibles et de son interface web classique, de pénétrer les serveurs vulnérables et de lancer des extractions de données automatiquement comme les identifiants de connexion. Une fonctionnalité Alexa Web permet de mesurer l’intérêt des données recueillies afin d’en évaluer la valeur de profit pour une exploitation future (comme l’illustre la capture ci-contre). Oracle, PostgreSQL, MySQL, DB2, SQLite, Informix, Sybase, MS Access, MSSQL… la plupart des principales bases de données du marché sont supportées. Un utilisateur russe en est ravi. Et témoigne avoir trouvé 8 vulnérabilités SQL en une demi journée.

Vite rentabilisé

Qui plus est Katyusha Scanner est relativement accessible et potentiellement vite rentabilisable. Il est vendu 500 dollars. Ses concepteurs ont élargit son accès avec une version light proposée depuis le 10 mai à 250 dollars. Depuis la version 0.8 mise en ligne le 26 juin, les offreurs proposent même de louer Katyusha Scanner pour 200 dollars par mois. Pour Recorded Future, « la disponibilité d’un outil très robuste et peu coûteux tel que Katyusha Scanner pour les criminels en ligne ayant des compétences techniques limitées ne fera que renforcer le problème de données compromises rencontré par diverses entreprises, soulignant l’importance des audits réguliers de sécurité des infrastructures ». Il est plus que temps de combler les brèches.

Lire également
Des attaques DDoS de plus de 10 Tbit/s en vue ?
Des chercheurs exfiltrent une clé privée RSA-1024 d’un logiciel de chiffrement
S. Gil (Imperva) :« Entreprises, préparez-vous aux attaques automatisées »

Photo credit: portalgda via VisualHunt / CC BY-NC-SA