Votre pipeline CI devient la cible de l'attaque
Un pipeline CI/CD compromis se transforme en vecteur d'exécution de code à distance dès qu'un attaquant modifie un workflow ou contourne les dépendances verrouillées. La transcription souligne que les systèmes CI/CD fonctionnent effectivement comme des fichiers YAML exécutant des scripts bash arbitraires sur des exécutants tiers, contenant souvent des secrets injectés via OpenID Connect ou des coffres-forts. Une fois le code exécuté en mémoire, les attaquants peuvent extraire cette mémoire pour pivoter et prendre le contrôle total, rendant le verrouillage de sécurité inefficace face à la modification des workflows. Cette architecture transforme le processus de construction en un point d'entrée direct pour une compromission complète du système.
Black Hat Europe 2025 | Des millions d'appareils d'intranet sont menacés par une prise de contrôle silencieuse (Disponible uniquement sur demande)
Des chercheurs de l'Université des Postes et Télécommunications de Nankin et l'expert en sécurité indépendant Nick Hsieh ont mis au jour un nouveau modèle d'attaque capable de prendre silencieusement le contrôle de millions d'appareils d'intranet sans exiger d'exposition par adresse IP publique. Cette méthode exploite les canaux de gestion basés sur le cloud et les failles d'authentification dans des protocoles tels que MQTT, HTTPS et TCP/UDP pour contourner les correctifs de sécurité traditionnels et obtenir un contrôle à distance sur des appareils connectés uniquement par des câbles d'alimentation et réseau. L'attaque cible la phase d'enregistrement initial des appareils, où les fabricants échouent souvent à valider les numéros de série ou à restreindre les espaces de noms génériques, permettant aux attaquants de forger des commandes de gestion et de détourner des sessions. Cette découverte révèle que la dépendance généralisée à la gestion par le cloud crée une vulnérabilité systémique ignorée par les stratégies de correction actuelles, affectant à la fois les écosystèmes IoT domestiques et d'entreprise.