Reproduction automatisée de vulnérabilités logicielles dans un environnement conteneurisé - DECRET (DEbian Cve REproducer Tool)

Entrée en langue française / French entry Catégorie: Conférence
Auteurs: Clément Parssegny, Olivier Levillain, Maxime Belair, Mathieu Bacou et Gaël Thomas
Date: juin 2023

Les vulnérabilités logicielles sont des menaces de nature diverse du fait de nombreux paramètres comme le composant affecté, l’impact sur le système visé ou encore la facilité pour un attaquant à la reproduire. Cette hétérogénéité rend la reproduction de vulnérabilités un enjeu important dans l’évaluation de solutions de sécurité. En effet, cette capacité à réaliser des tests sur des situations connues et réalistes est un moyen objectif de mesurer l’efficacité d’une solution. Cependant, aucun outil public ne semble exister pour permettre ces travaux d’évaluation de manière simple, rapide et sur des failles arbitraires.

Utilisable notamment en recherche ou en enseignement de la sécurité logicielle, DECRET est un outil conçu pour reproduire des environnements vulnérables conteneurisés à partir de données publiques. De ce fait, il permet de :

  • comprendre les éléments affectés par la vulnérabilité ;
  • créer un environnement vulnérable isolé pour pouvoir expérimenter la vulnérabilité ;
  • récupérer, si demandé, des preuves de concepts publiées sur une base de données publique : exploit-db.com.

DECRET se limite à la reproduction de vulnérabilités affectant les différentes versions de Debian à partir de Sarge (v3.1) pour plusieurs raisons :

  • c’est une distribution largement utilisée dans un contexte nuagique ce qui correspond au cadre pour lequel notre outil a été originellement conçu ;
  • de nombreux détails sont disponibles sur les vulnérabilités via les plate- formes publiques de Debian ;
  • un système d’instantanés (ou snapshot en anglais) permet d’utiliser les dépôts de Debian à un instant T donné avec une précision de 6h et donc d’installer des versions vulnérables de logiciel sans problème de dépendances.

Une fois les dépendances logicielles installées, l’utilisateur n’a besoin que d’une seule commande pour pouvoir reproduire l’environnement vulnérable souhaité en spécifiant au minimum l’identifiant CVE de la vulnérabilité voulue et la version de Debian affectée.

Présenté lors de la conférence SSTIC à Rennes, France en juin 2023

BibTeX Présentation Vidéo