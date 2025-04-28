Les mainframes sont un composant critique de l'infrastructure informatique dans de nombreux secteurs, car ils permettent de traiter de gros volumes de transactions avec une grande fiabilité et de nombreux mécanismes de sécurité. Les banques, les compagnies aériennes, les hôtels et les compagnies d’assurance s’appuient tous sur des mainframes pour gérer les transactions liées aux virements bancaires, aux achats par carte de crédit, à la création de réservations et au traitement des demandes d’indemnisation.
Comme pour tout système informatique, des erreurs de configuration du mainframe sont possibles malgré les fonctionnalités de sécurité avancées. En raison de l’importance des informations traitées par ces machines, il est impératif que la sécurité des mainframes soit régulièrement et avec soin évaluée par les testeurs d’intrusion . Chaque mainframe est spécialement conçu pour répondre à un cas d’utilisation particulier, de sorte qu'il peut falloir du temps à un testeur de pénétration pour comprendre l'environnement qu'il évalue. Après la phase de reconnaissance initiale, le testeur recherchera les vulnérabilités et les erreurs de configuration dans les logiciels et les applications exécutés sur le mainframe.
Il existe plusieurs outils de tests d'intrusion disponibles pour les mainframes, mais il s'agit de scripts autonomes qui ne font pas partie d'un outil multifonctionnel. Un testeur doit consacrer du temps à déterminer quels scripts sont appropriés à exécuter et où trouver les scripts qui fonctionneront le mieux dans son environnement. Pour combler cette lacune, Elizabeth Christensen et moi-même, tous deux stagiaires pour IBM X-Force Red, avons développé m-RAY, un scanner automatisé de vulnérabilités pour les mainframes IBM exécutant le système d'exploitation z/OS. Il vise à aider les testeurs d’intrusion dans les premières étapes de leur engagement en identifiant les erreurs de configuration et les vulnérabilités courantes. Grâce à cet outil, les testeurs réduisent les heures passées à exécuter manuellement des commandes et à effectuer des reconnaissances, augmentant ainsi le temps qu’ils peuvent consacrer à suivre les trajectoires d’attaque potentielles ou les points pivots et à identifier les problèmes avant qu’un adversaire ne le fasse.
m-RAY a été conçu comme un cadre des exigences facilement extensible qui vérifie les vulnérabilités dans les configurations de divers services et simplifie le processus d'exécution des scripts dans un environnement z/OS. En raison de la nature personnalisée des mainframes, les testeurs peuvent configurer les fonctionnalités qu'ils souhaitent utiliser pour s'adapter au mieux à l'environnement dans lequel ils travaillent.
La liste des erreurs de configuration à vérifier a été compilée à partir du Guide d'implémentation technique (STIG) de la sécurité RACF z/OS. Les STIG sont des exigences de configuration utilisées par le Département de la Défense pour sécuriser ses systèmes et sont basés sur les recommandations du NIST. Qu’une entreprise soit tenue de se conformer ou non à ces exigences, les STIGs fournissent une source de bonnes pratiques industrielles pour divers produits logiciels et forment la base de cet outil de sécurité. L’équipe a identifié les 25 principales erreurs de configuration qui apporteraient la plus grande valeur à un testeur, et qui seraient les plus importantes pour les clients, puis les a mises en œuvre sous forme de vérifications de vulnérabilités.
Par exemple, m-RAY vérifie si les niveaux d’autorisation utilisateur s’alignent dans les environnements Unix et TSO, si SSH est configuré pour utiliser des algorithmes cryptographiques sécurisés et si les comptes inactifs sont automatiquement révoqués. Actuellement, m-RAY fournit des informations sur les mauvaises configurations du mainframe dans l'environnement Unix System Services et dans RACF, le logiciel de sécurité qui gère le contrôle d'accès des utilisateurs sur z/OS. Certains fournissent une réponse définitive sur la présence d’une certaine erreur de configuration sur le système, tandis que d’autres fournissent des informations système, comme une liste de comptes utilisateurs pouvant accéder à une ressource donnée. Un testeur d’intrusion peut alors travailler avec le client pour déterminer si l’accès est correctement restreint.
Outre la vérification des configurations des systèmes, un autre objectif de m-RAY est de consolider les fonctionnalités de l'outil mainframe existant. Ces outils d'énumération sont souvent écrits en REXX, un langage de script pour mainframe. Pour utiliser l'un de ces scripts lors d'un test de détection, le testeur doit trouver l'outil open source, le télécharger sur son ordinateur, le transférer de là vers le mainframe, l'exécuter et interpréter les Résultats. Pour rationaliser cette procédure, m-RAY inclut les deux scripts REXX open-source les plus populaires et automatise le processus de téléchargement et d'exécution du script, ainsi que le nettoyage de l'environnement par la suite. Les testeurs peuvent également ajouter leurs propres scripts REXX personnalisés à l’outil.
Globalement, en utilisant m-RAY, un testeur de pénétration peut automatiser de nombreux contrôles de vulnérabilité qu'il devrait autrement effectuer manuellement et peut réduire le temps passé à obtenir une première vue d'ensemble du système.
Il existe plusieurs manières d'interagir avec un mainframe moderne. La méthode traditionnelle est le TSO, qui permet aux utilisateurs de se connecter à une session interactive et d’émettre des commandes. Cela implique généralement l’utilisation d’un émulateur de terminal spécialisé qui fonctionne sur le protocole IBM 3270. La plupart des mainframes modernes utilisent également SSH, un protocole de connectivité à distance qui peut fonctionner sur toutes les plateformes. Cela permet d'émettre des commandes TSO et UNIX et d'automatiser des actions dans le cadre d'un script. m-RAY fonctionne via une connexion SSH au mainframe pour profiter des fonctionnalités supplémentaires fournies par SSH et éviter les dépendances spécifiques à la plateforme.
SSH sur le mainframe utilise Unix System Services, une fonctionnalité de z/OS qui lui permet d’exécuter des programmes écrits pour des systèmes Unix. En utilisant ce protocole, m-RAY établit une connexion au mainframe et exécute des commandes pour recueillir des informations et effectuer des vérifications de mauvaise configuration. Le SCP est utilisé pour copier en toute sécurité les scripts REXX sur le mainframe. L’authentification peut être effectuée via un mot de passe ou une paire de clés pour s’adapter à différentes configurations du système.
L’application principale fournit une interface utilisateur en ligne de commande, établit des connexions et commence à vérifier les vulnérabilités. Le testeur de pénétration saisit l'adresse IP de la mainframe, sélectionne les types de mauvaises configurations à vérifier et saisit un ensemble d'identifiants de bas niveau. Ensuite, une connexion est établie entre m-RAY et le mainframe qui permet d'envoyer des commandes et de recevoir des Résultats du système.
Les contrôles de vulnérabilité sont divisés en trois catégories : contrôles des services système Unix, contrôles via TSO et reconnaissance générale. Après avoir sélectionné une de ces catégories, le testeur a la possibilité d'exécuter tous les contrôles ou de configurer ceux qu'il souhaite exécuter. Après avoir recueilli les résultats d'une analyse, m-RAY produit un rapport de constatations et des informations sur le système qui peuvent orienter le testeur de pénétration tout au long de sa mission. L'exécution d'un script REXX fonctionne de la même manière. Après avoir sélectionné l’option scripts, un testeur peut choisir lesquels il souhaite exécuter.
L’aspect le plus important de la conception de cette application est sa modularité. À mesure que les bonnes pratiques de sécurité évolueront au fil du temps, il sera nécessaire d'ajouter des contrôles pour détecter de nouvelles erreurs de configuration et de modifier les configurations existantes. De nouveaux contrôles et scripts peuvent être ajoutés en modifiant un modèle inclus et nécessitent uniquement de savoir quelles commandes exécuter pour recueillir les informations pertinentes. Si un testeur de pénétration souhaite ajouter une nouvelle vérification impliquant l'exécution d'une commande TSO, il n'a pas besoin de savoir comment établir une connexion avec le mainframe, il lui suffit de connaître la commande TSO et, éventuellement, les résultats souhaités de la commande. L'ajout d'un nouveau chèque devrait prendre moins de 10 minutes. Il est également possible d'ajouter de nouveaux protocoles de connexion. M-ray a utilisé le SSH car c'était la meilleure solution pour les fonctionnalités actuelles, mais l'ajout d'un autre protocole de connexion est également simplifié grâce à des classes de connexion implémentant une interface standard.
m-RAY est un outil open source que vous pouvez trouver ici.
L'objectif de ce projet est de continuer à l'enrichir avec de nouveaux contrôles des erreurs de configuration et des vulnérabilités, en plus des 25 actuellement mis en œuvre. La sélection actuelle a été organisée pour offrir le plus de valeur aux testeurs d'intrusion et aux clients dont les systèmes qu'ils évaluent. Ceci, combiné aux fonctionnalités des outils open source existants, donne naissance à l'outil de test d'intrusion sur mainframe le plus complet disponible.
