Claude Opus a écrit seul l'exploit qui a éventré la billetterie de Live Nation

Un chercheur en sécurité nommé Ian Carroll s’est amusé à lâcher Claude Opus sur la billetterie de Live Nation, afin d’y trouver des failles de sécurité, et l’IA lui a carrément écrit toute la chaîne d’exploitation sans aucune aide. Lui n’a eu qu’à le lancer…
Tout démarre avec une session de fuzzing sur l’API des terminaux, fgtapi.frontgatetickets.com. Carroll repère un truc… chaque endpoint qui contient le mot "device" réclame un paramètre deviceUID, et ce paramètre ne demande aucune authentification. Il colle un simple guillemet à la fin, la requête se met à ramer, et là, signe classique, le paramètre file direct dans une requête SQL sans le moindre échappement.
Une injection SQL bien à l’ancienne (si vous voulez voir à quoi ça ressemble, j’avais déjà
décortiqué le principe
il y a un bail).
Sauf qu’un WAF AWS est planté devant pour bloquer ce genre de payload. Et c’est là que Claude entre en scène. L’IA pige toute seule que le pare-feu n’inspecte que la couche extérieure de la requête, et qu’il suffit de planquer l’injection dans une sous-requête imbriquée pour passer sous le radar.
Ensuite elle se fabrique un oracle booléen aveugle qui fait que selon que la condition testée est vraie ou fausse, le serveur renvoie deux réponses différentes, "MC70-023" pour vrai, "Intellitix Upload" pour faux. Vous enchaînez ensuite les questions oui/non, et vous reconstituez la base entière, caractère par caractère.
Et la base, elle est bien garnie. Plus de 500 tables dans un ensemble baptisé fgs avec dedans les emails et mots de passe du personnel, ceux des clients, les tokens de reset, les tokens d’API et les jetons OAuth encore actifs. Avec ça, Carroll précise qu’il aurait pu émettre autant de billets gratuits qu’il voulait, pour n’importe quel événement.
Mais c’est une personne pleine de sagesse (et qui ne veut pas aller en prison) alors il ne l’a pas fait. Et surtout, il a tout remonté à Live Nation. Le lendemain où il les a contactés, la boîte confirmait le déploiement d’un correctif.
Ce qui est intéressant ici, c’est que le contournement du WAF par sous-requête, et la construction de l’oracle, tout ça a été proposé par Claude, et ne vient pas d’une demande du chercheur. On avait certes, déjà vu l’IA d’Anthropic
dénicher des failles dans Firefox
ou
éplucher du code Apple II vieux de 40 ans
mais là, c’est un sacré cran plus loin, je trouve.
Merci à Ian Carroll pour
le writeup détaillé
.
Source :
CyberSecurityNews
Source : korben.info