AutoSploit — это инструмент для автоматизированной массовой хакерской атаки, опубликованный на GitHub. Python-код находит уязвимые устройства через базу Shodan, а с помощью Metasploit подбирает способ эксплуатации бреши.
I just released AutoSploit on #Github. #Python based mass #exploit #tool. Gathers targets via #Shodan and automatically invokes selected #Metasploit modules to facilitate #RCE.https://t.co/BNw6JvTVH9#OffSec #InfoSec #Programming #Security pic.twitter.com/hvc3vrNCEJ
— VectorSEC (@Real__Vector) January 30, 2018
Автор AutoSploit называет себя «энтузиастом кибербезопасности», но другие специалисты осуждают его за публикацию инструмента для массовой атаки, доступного неопытным киберпреступникам:
There is no need to release this. The tie to Shodan puts it over the edge. There is no legitimate reason to put mass exploitation of public systems within the reach of script kiddies. Just because you can do something doesn't make it wise to do so. This will end in tears. https://t.co/Q37XtRUgZz
— Richard Bejtlich (@taosecurity) January 31, 2018
I completely agree with the criticism. Exploits that I discovered and disclosed are now used to operate gigantic botnets. Giving script kiddies the ability to own hundreds of thousands of devices is a BAD idea.
— Amit Serper 😷 (@0xAmit) January 31, 2018
С другой стороны
Портал Ars Technica проанализировал сам код и назвал AutoSploit «чрезвычайно тупым инструментом». Из-за способа, которым автоматизирована работа с Shodan и Metasploit, возможность отсеивать цели крайне ограничена, а для хоть сколько-нибудь значимого результата требуется уйма предварительной работы.
Кевин Бьюмонт, специалист по кибербезопасности, отметил, что все беспокойства по поводу этого инструмента исчезнут, когда новичкам наскучит постоянно запускать Python-скрипт.
Источник: Ars Technica