Dans la plupart des cas, l'équipe de piratage éthique X-Force Red d'IBM a réussi à accéder aux systèmes SCM lors d'une simulation de l'adversaire.L'accès aux systèmes SCM donne aux attaquants la possibilité d'attaquer la chaîne d'approvisionnement des logiciels et peut faciliter les mouvements latéraux et l'escalade des privilèges au sein d'une organisation.Afin de sensibiliser à l'abus des systèmes SCM et d'encourager la détection des techniques d'attaque contre les systèmes SCM, X-Force Red met à disposition une boîte à outils open source.SCMKit sera présenté à Black Hat USA 2022 Arsenal. Il permet à l'utilisateur de spécifier le système SCM et le module d'attaque à utiliser, tout en spécifiant des informations d'identification valides (nom d'utilisateur/mot de passe ou clé API) pour le système SCM respectif. SCMKit dispose de plusieurs modules permettant d'effectuer la reconnaissance de dépôts, de fichiers, de code et d'autres ressources spécifiques à divers systèmes SCM tels que GitLab Runners. Le kit permet également aux équipes de sécurité d'explorer des éléments tels que l'escalade des privilèges et l'utilisation de clés SSH pour obtenir la persistance.", écrit Brett Hawkins d'IBM X-Force Red sur le blog de l'entreprise. "."Source : IBM Qu'en pensez-vous ?