Démonstration de la plateforme
Démonstration de la plateforme
Analyse statique pour détecter les vulnérabilités de sécurité des transactions CICS

Analyse statique pour détecter les vulnérabilités de sécurité des transactions CICS

IN-COM Le 19 juin 2025 , , ,

Les systèmes CICS prennent en charge certains des environnements de traitement de transactions les plus sensibles et les plus volumineux au monde. De la banque et de l'assurance à la logistique et à la défense, ces plateformes gèrent des charges de travail qui ne peuvent se permettre de négliger la sécurité. Si la disponibilité opérationnelle retient souvent l'attention, la structure des applications CICS introduit des contraintes. risques cachés qui sont faciles à manquer lors des examens de routine.

Nombre de ces risques proviennent du code existant. Les modules COBOL imbriqués, les liaisons transaction-programme, les appels de programme dynamiques et les zones de virgule réutilisées peuvent créer des vulnérabilités invisibles depuis la surface. Parmi les exemples courants, on peut citer l'accès non validé au terminal, l'utilisation abusive des instructions XCTL ou LINK, et l'octroi d'autorisations élevées via un routage de transaction incorrect. Ces failles peuvent persister en production pendant des années sans déclencher d'alerte.

Analyse statique offre une méthode structurée pour identifier ces problèmes avant qu'ils ne soient exploités. Cependant, contrairement aux applications web ou API, l'analyse des charges de travail CICS nécessite une inspection beaucoup plus approfondie. Les analystes doivent suivre le flux de contrôle à plusieurs niveaux du programme, comprendre le déplacement des données dans la mémoire partagée et détecter les schémas spécifiques au comportement des transactions mainframe.

Cet article explique comment appliquer l'analyse statique aux environnements CICS pour identifier et corriger les failles de sécurité. Il décrit les structures à haut risque à identifier, explique comment interpréter la logique transactionnelle en code COBOL et fournit des conseils aux ingénieurs qui doivent analyser de vastes systèmes existants avec précision et profondeur. L'objectif est d'aider les équipes à sécuriser leurs couches transactionnelles sans incertitude ni perturbation.

Table des Matières

Comprendre les surfaces d'attaque des transactions CICS

Les transactions CICS ne sont pas de simples unités de travail programmatiques. Elles sont profondément ancrées dans le contrôle d'accès, l'identité des utilisateurs, l'autorisation des ressources et l'intégrité des sessions. De nombreux systèmes mainframe reposent sur des modèles de conception vieux de plusieurs décennies, où l'application de la sécurité est implicite plutôt qu'explicite. Cela introduit des risques souvent négligés lors des tests, voire des audits de conformité.

À ce niveau, l'analyse statique commence par la cartographie des points de contrôle, du traitement des entrées et des chemins accessibles dans des contextes d'exécution spécifiques. Même les systèmes ayant réussi les tests d'intrusion peuvent encore présenter des vulnérabilités liées à des flux de transactions mal acheminés ou trop privilégiés.

Vulnérabilités cachées dans les appels EXEC CICS

Une faiblesse courante concerne l’utilisation dynamique de EXEC CICS LINK, XCTL, RETURN sans vérifier l'origine ou le contexte de l'appel. Lorsque les programmes sont enchaînés de manière lâche et que les noms de programmes sont fournis en externe ou construits dynamiquement, des entrées malveillantes peuvent orienter l'exécution vers des modules dotés de privilèges élevés.

En pratique, cela pourrait ressembler à :

EXEC CICS LINK PROGRAM(PROG-NAME) COMMAREA(COMM-AREA) LENGTH(COMM-LEN) END-EXEC

If PROG-NAME est construit à partir d'une valeur fournie par l'utilisateur ou mappé à partir d'une table sans validation stricte, les utilisateurs non autorisés peuvent invoquer des programmes sensibles qui n'étaient pas destinés à être exposés.

L'analyse statique doit détecter de tels chemins, en particulier lorsque :

  • Les noms de programme sont construits à partir de valeurs concaténées ou masquées
  • Aucune vérification de secours n'est implémentée pour les cibles autorisées ou attendues
  • Les programmes récepteurs fonctionnent sans autre vérification d'autorité

Modèles d'escalade du contrôle SVC et du stockage

Certains appels basés sur SVC ou routines de service internes accessibles via des instructions de niveau macro peuvent permettre une escalade par manipulation de la mémoire. Une utilisation incorrecte de ADDRESS, ASSIGN, ou l'accès direct aux blocs de données du terminal peut contourner les mesures de protection lorsque le contexte de sécurité au niveau des tâches n'est pas appliqué correctement.

Un modèle typique de drapeau rouge comprend :

  • Attribution d'un identifiant de terminal ou d'un numéro de tâche à partir d'une entrée brute
  • L'utilisation de EXEC CICS ADDRESS TCTUA ou des appels équivalents suivis d'écritures directes
  • Contrôle de commutation basé sur l'état de la session sans vérification de rôle

Les attaquants familiarisés avec les structures des terminaux et les composants internes de CICS peuvent exploiter ces points d’accès pour élever les privilèges ou injecter des commandes involontaires.

L'identification de ces vulnérabilités nécessite non seulement d'analyser les commandes CICS, mais également de résoudre la lignée des données entre les affectations de mémoire, de vérifier l'origine des paramètres de contrôle et de signaler les utilisations de valeurs de contexte non sécurisées ou non authentifiées.

Portée de l'analyse statique dans un environnement CICS

L'analyse statique dans les environnements CICS doit aller au-delà de la syntaxe de base ou de la détection de mots-clés. Les analystes doivent comprendre non seulement la structure du code, mais aussi le modèle de transaction, les liens entre les programmes, les flux de données et les limites de privilèges. Une évaluation complète doit refléter la manière dont les utilisateurs, les terminaux et les applications interagissent via la mémoire partagée et la logique d'exécution chaînée.

Ce niveau d'inspection est complexe, surtout lorsqu'il s'agit d'applications écrites il y a plusieurs décennies et maintenues par plusieurs équipes au fil du temps. Les programmes reposent souvent sur un flux de contrôle non structuré, une utilisation dynamique des zones de commutation et des identifiants de programme réutilisés, autant d'éléments qui masquent la limite d'autorité.

Analyse du flux source COBOL-CICS pour les limites de confiance

Dans les environnements applicatifs modernes, les limites de confiance sont généralement définies par des couches, par exemple entre une interface utilisateur frontale et une API. Dans CICS, ces limites sont souvent implicites et enfouies dans les liens entre les programmes. L'analyse statique doit identifier les programmes qui transmettent le contrôle à d'autres, où les entrées entrent dans le système et si leur origine est fiable.

Par exemple, une chaîne commençant par une transaction de connexion peut passer le contrôle par cinq programmes ou plus. Si l'un de ces programmes accepte une nouvelle saisie utilisateur (par exemple, via un segment de zone de correspondance mis à jour) sans la revalider, la limite de confiance est rompue. L'analyse statique doit signaler ces points de transition pour vérification.

Les aspects critiques à examiner comprennent :

  • Points d'entrée où les données externes entrent dans le chemin d'exécution
  • Appels à LINK ou XCTL qui se produisent sans vérification de l'appelant
  • Zones dans lesquelles l'exécution passe d'un flux authentifié à un flux non authentifié

Détection des informations d'identification codées en dur et de la logique d'escalade d'autorité

Des jetons de sécurité, des identifiants utilisateur ou des APPLID codés en dur sont parfois introduits lors d'un développement rapide ou d'une mise à jour corrective d'urgence. Ces valeurs peuvent outrepasser les contrôles d'accès standard ou permettre un accès de secours en cas d'échec de l'authentification réelle.

Par exemple, un segment COBOL comme :

IF USER-ID = 'SECADMIN' THEN
   MOVE 'Y' TO AUTH-FLAG
END-IF

peut ne pas sembler dangereux à première vue, mais si USER-ID peut être influencé de l’extérieur ou réutilisé dans d’autres programmes, cela crée un risque persistant.

Les moteurs d'analyse statique doivent rechercher :

  • Valeurs sensibles à la sécurité dans les instructions ou les affectations IF
  • Drapeaux d'autorité définis directement, sans vérification
  • Utilisation d'APPLID génériques ou de noms d'utilisateur qui contournent la logique de contrôle

Ces schémas sont subtils, mais leur présence signale souvent des problèmes de conception plus importants, où la logique de sécurité est imbriquée dans les règles métier. Les isoler grâce à une analyse statique permet aux équipes de refactoriser le code en toute sécurité et sans accès aux privilèges cachés.

Portée de l'analyse statique dans un environnement CICS

Les systèmes CICS diffèrent considérablement des piles d'applications traditionnelles. Alors que les services modernes exposent des API et des flux pilotés par événements, les applications CICS s'exécutent souvent comme des chaînes de programmes étroitement couplées qui s'appuient sur des données transitant par des zones de communication, des entrées de terminal et une mémoire partagée. Cette architecture rend l'analyse statique particulièrement complexe. Les analystes ne se contentent pas de rechercher les appels vulnérables connus, mais doivent reconstituer le flux d'exécution de plusieurs programmes, dont certains peuvent s'étendre sur des décennies de développement.

Une revue statique pertinente doit tenir compte de la manière dont les données entrent dans le système, de la manière dont le contrôle est transmis d'un module à l'autre et des cas où la validation est attendue mais absente. Les violations de sécurité dans CICS ne résultent pas toujours d'appels manifestement dangereux. Elles résultent le plus souvent d'hypothèses négligées sur la confiance, de vérifications de contexte manquantes ou d'incompatibilités d'autorisations survenant dans les flux d'exécution imbriqués ou différés.

Analyse du flux source COBOL-CICS pour les limites de confiance

Une transaction COBOL-CICS typique ne se compose pas d'un seul bloc monolithique. Elle s'étend souvent sur plusieurs programmes connectés par EXEC CICS LINK, XCTL, RETURN, utilisant des blocs de zone de communication pour partager des données. De nombreux programmes ne valident pas indépendamment le contenu de la zone de communication qu'ils reçoivent, présupposant qu'un appelant de confiance a déjà effectué la validation. Cette hypothèse est l'une des sources les plus fréquentes de dérive de privilèges et d'accès non autorisés.

L'analyse statique doit identifier les points de départ des entrées de données et suivre leur propagation à travers ces appels. Par exemple :

MOVE WS-USERID TO COMM-USERID  
EXEC CICS LINK PROGRAM('ACCTUPD') COMMAREA(COMMAREA-BLOCK) LENGTH(COMM-LEN)

Puis dans ACCTUPD, les éléments suivants peuvent apparaître :

IF COMM-USERID = 'ADMIN01'  
   PERFORM ADMIN-ROUTINE

Cela crée une limite de confiance implicite. Si WS-USERID a déjà été écrasé ou falsifié plus tôt dans le flux, ACCTUPD exécuterait aveuglément des routines d'administration. L'analyse statique doit corréler COMM-USERIDl'origine et le drapeau de tout le code en aval qui l'utilise pour la prise de décision sensible sans revalidation.

Les violations typiques des limites de confiance détectables via des analyses statiques incluent :

  • Branches de décision basées sur des champs de zone de comparaison sans authentification locale
  • Exécution de la logique conditionnée par les valeurs du terminal ou de l'APPLID
  • L'utilisation de EIBTRMID, EIBTASKN, EIBRESP dans la logique de contrôle sans vérification d'origine
  • Absence de revalidation de session utilisateur lors de la réentrée dans une chaîne pseudo-conversationnelle

Détection des informations d'identification codées en dur et de la logique d'escalade d'autorité

Les revues statiques révèlent fréquemment des identifiants utilisateur codés en dur, des codes spéciaux ou des APPLID intégrés directement dans les instructions COBOL. Bien que ces éléments aient pu être ajoutés à des fins de tests internes ou de solutions de contournement opérationnelles, ils restent souvent en production et présentent de sérieux risques.

Voici des exemples de modèles réels souvent signalés :

IF USER-ID = 'SYSROOT'  
   MOVE 'FULL' TO ACCESS-LEVEL

or

IF EIBTRMID = 'TSTTERM1'  
   MOVE 'Y' TO BYPASS-SECURITY-FLAG

Ces failles créent des chemins d'accès non contrôlés vers des accès élevés. Si un attaquant accède à un terminal ou découvre un identifiant utilisateur codé en dur, le reste de l'application peut se comporter comme si une authentification complète avait été effectuée.

Un exemple plus subtil :

IF SUBSTR(COMMAREA-DATA, 1, 5) = 'DEBUG'  
   PERFORM DIAGNOSTIC-ROUTINES

Si cette logique n'est pas supprimée ou protégée, une entrée conçue pourrait activer des fonctions qui exposent des journaux, des pointeurs de fichiers ou des diagnostics de mémoire non destinés aux utilisateurs généraux.

Lors de la création de règles statiques pour détecter de telles failles, concentrez-vous sur :

  • IF or EVALUATE instructions utilisant des valeurs littérales codées en dur liées aux utilisateurs ou aux terminaux
  • Mappage direct des informations d'identification codées en dur aux indicateurs d'accès
  • Des drapeaux tels que BYPASS, OVERRIDE, DEBUG qui déclenchent une logique conditionnelle
  • Sections de code protégées uniquement par des contrôles superficiels sur le nom d'utilisateur ou l'ID du terminal

Dans de nombreux cas, ces vérifications ont été ajoutées de manière informelle et n'ont jamais été examinées. Les analyses statiques devraient les signaler pour une inspection manuelle ou appliquer des alertes basées sur des modèles en cas d'utilisation abusive récurrente.

En élargissant l’objectif de l’analyse statique pour capturer ces conditions limites et ces solutions de secours codées en dur, les auditeurs et les ingénieurs de sécurité peuvent obtenir une meilleure visibilité sur les endroits où les applications CICS peuvent rompre la chaîne de confiance, même si le reste du système semble fonctionner en toute sécurité.

Modèles de structure de code indiquant un risque de sécurité

Bien que les commandes CICS individuelles puissent sembler sécurisées prises isolément, la structure logique du programme détermine souvent si une transaction est réellement protégée. L'analyse statique doit aller au-delà de l'analyse ligne par ligne pour comprendre comment les programmes interagissent, comment les autorisations sont déduites et où la confiance implicite est intégrée au flux de contrôle.

Les systèmes hérités sont particulièrement exposés à ces schémas. Au fil du temps, les équipes de développement introduisent des logiques temporaires, des raccourcis de privilèges et des transactions polyvalentes qui brouillent la distinction entre les préoccupations. Identifier ces anti-modèles structurels est essentiel pour renforcer la sécurité des transactions.

Mappage des transactions vers les programmes avec des autorisations élevées

Chaque identifiant de transaction CICS est généralement associé à un programme ou à une routine de répartition spécifique. Cependant, de nombreux systèmes réutilisent les codes de transaction dans différents modules ou attribuent des gestionnaires de programmes généraux capables d'exécuter plusieurs fonctions sensibles en fonction des saisies utilisateur.

Cela devient dangereux lorsqu'un gestionnaire généraliste est lié à une transaction à privilèges élevés sans filtrage adéquat. L'analyse statique doit identifier les identifiants de transaction correspondant aux programmes et déterminer la logique d'exécution de chaque programme dans ce contexte de transaction.

Exemple : 

EXEC CICS RETRIEVE INTO(COMM-AREA)  
EVALUATE COMM-AREA-FUNCTION  
   WHEN 'UPDATE'  
      PERFORM UPDATE-ROUTINE  
   WHEN 'DELETE'  
      PERFORM DELETE-ROUTINE  
   WHEN OTHER  
      PERFORM INQUIRY-ROUTINE  
END-EVALUATE

Si ce qui précède est mappé à une transaction comme FINTRN01, et que des privilèges système élevés sont attribués à cette transaction, toute utilisation abusive de COMM-AREA-FUNCTION peut permettre à un utilisateur de contourner les restrictions de rôle et d'invoquer une logique de suppression ou de mise à jour.

Les indicateurs de risque comprennent :

  • Programmes uniques exécutant plusieurs actions privilégiées en fonction des indicateurs fournis par l'utilisateur
  • Absence de restrictions codées en dur entre les transactions et les fonctions
  • Codes de transaction partagés entre environnements ou unités commerciales
  • Absence de contrôles d'accès liés à des branches spécifiques au sein d'un module de répartition

Les analyses statiques doivent identifier où les indicateurs de zone de communication contrôlent le flux et si ces flux sont protégés par une authentification, une validation de rôle ou des contraintes au niveau des ressources.

Faiblesses des chemins d'appel au niveau de la commande et au niveau de la macro

Une autre source de risque réside dans l'incohérence entre les programmes de niveau commande et de niveau macro. Les systèmes qui ont évolué au fil du temps contiennent souvent un mélange des deux styles. Alors que le code de niveau commande bénéficie d'une syntaxe structurée et d'une meilleure lisibilité, le code de niveau macro offre généralement un accès de niveau inférieur et moins de protections.

Lorsque les deux types sont utilisés ensemble, ils peuvent introduire des vulnérabilités subtiles dans le chemin d'appel, en particulier si les programmes de niveau macro sont liés dynamiquement sans application de sécurité intermédiaire.

Exemple :

  • Un programme de niveau commande est lié à un module de niveau macro qui lit ou modifie directement la mémoire partagée.
  • Le module de niveau macro suppose que le programme appelant a déjà validé les données.
  • Aucun contrôle intermédiaire n'est effectué entre la saisie et l'exécution.

Une vue simplifiée du flux :

* In command-level handler  
EXEC CICS LINK PROGRAM('LEGACYIO') COMMAREA(DATA-BLOCK)

* In macro-level module LEGACYIO  
L R1,=V(DATA-BLOCK)  
ST R1,=V(SYSTEM-FILE-POINTER)

Ici, le module de niveau macro est censé fonctionner directement sur les pointeurs de stockage. Si le programme appelant n'a pas réussi à valider DATA-BLOCK, un attaquant pourrait manipuler des régions de mémoire ou référencer des ensembles de données non autorisés.

L'analyse statique doit accorder une attention particulière à :

  • Appels LINK ou XCTL depuis des programmes structurés vers des modules hérités
  • Passage de paramètres entre le code de niveau commande et le code de niveau macro
  • Utilisation de pointeurs de stockage ou d'identifiants de fichiers système sans vérification des limites
  • Modules réutilisés où la validation des entrées est supposée avoir eu lieu ailleurs

Ces failles sont rarement détectées lors des tests, car les conditions d'exploitation nécessitent souvent une adéquation parfaite entre le contexte du terminal, les paramètres de la tâche et le flux d'exécution. Cependant, les analyses statiques permettent de détecter la configuration structurelle à l'origine de ces failles.

En identifiant les risques structurels — et pas seulement les lignes de code défectueuses — les analystes peuvent mieux évaluer la posture de sécurité globale des systèmes CICS et hiérarchiser les mesures correctives en fonction du potentiel d’impact.

Détection statique des abus d'API spécifiques à CICS

CICS expose un large éventail de commandes EXEC et de macros qui interagissent avec les ressources système. Celles-ci incluent les identifiants de terminal, les numéros de tâches, la mémoire de session et la logique de routage des transactions. Bien que ces fonctionnalités offrent une certaine flexibilité, elles peuvent également introduire des vulnérabilités lorsqu'elles sont utilisées sans protections suffisantes. Une mauvaise utilisation de ces interfaces peut entraîner une élévation involontaire des privilèges, le contournement des contrôles ou l'accès à des zones système non autorisées.

L'analyse statique permet aux développeurs et aux auditeurs d'identifier ces risques en examinant le mode d'appel de ces API, les paramètres qu'elles utilisent et la validation adéquate du contexte d'appel. Une mise en œuvre correcte nécessite une inspection minutieuse du contexte d'exécution, des schémas d'accès et des limites des flux de données entre les transactions.

Suivi de l'utilisation non sécurisée des fonctions EXEC CICS ASSIGN et ADDRESS

Le ASSIGN et ADDRESS Les commandes permettent un accès direct aux structures internes de CICS. Cela inclut des métadonnées critiques telles que les identifiants de terminal, les identifiants d'application et les emplacements mémoire spécifiques aux tâches. Bien que ces valeurs soient fréquemment utilisées pour la journalisation ou le suivi des sessions, elles deviennent dangereuses lorsque la logique de contrôle en dépend pour les décisions de sécurité.

Prenez cet exemple:

EXEC CICS ASSIGN TERMINALID(TERM-ID)
IF TERM-ID = 'DEVBYPASS'
   PERFORM SKIP-AUTH-CHECKS

Ici, le contrôle d'accès est directement lié à l'identifiant du terminal. Un utilisateur connaissant sa valeur ou ayant la capacité d'usurper les paramètres du terminal peut exploiter cette logique pour contourner les mécanismes de sécurité.

Ou envisagez une variante impliquant ADDRESS:

EXEC CICS ADDRESS EIBTASKN
MOVE EIBTASKN TO TRACE-BUFFER

Pris isolément, cela semble inoffensif. Cependant, si EIBTASKN est utilisé ultérieurement pour l'authentification ou l'autorisation de transaction, il introduit un risque de prévisibilité et d'usurpation d'identité de session non autorisée.

Les indicateurs courants d’une utilisation non sécurisée d’ASSIGN et d’ADDRESS incluent :

  • Contrôlez les branches en fonction uniquement de l'ID du terminal, de l'APPLID ou du numéro de tâche
  • Utilisation directe des valeurs attribuées pour la validation d'accès ou les indicateurs de contournement
  • Références de pointeur sans validation structurelle après les commandes ADDRESS
  • Valeurs codées en dur comparées aux identifiants attribués par le système dans les conditions IF

Les outils d’analyse statique doivent être configurés pour signaler ces conditions, en particulier lorsque les données attribuées influencent le routage du programme ou la logique des privilèges.

Altération du flux de transactions via des chemins d'exécution alternatifs

Dans de nombreuses applications CICS, le routage de transaction alternatif ou de secours est utilisé pour améliorer la tolérance aux pannes. Malheureusement, ces chemins alternatifs peuvent manquer de validation d'accès appropriée ou être atteints dans des conditions imprévues. Cela crée des opportunités pour les attaquants de déclencher une logique sensible en dehors du flux de transaction normal.

Considérez ce cas:

IF EIBCALEN = 0
   EXEC CICS XCTL PROGRAM('RETRYTX')

Ce code redirige l'exécution si aucune zone de virgule n'a été transmise. Mais RETRYTX Il pourrait être conçu pour être utilisé uniquement dans des séquences fiables. S'il n'impose pas sa propre validation, un utilisateur pourrait accéder à des fonctionnalités sensibles simplement en déclenchant une transaction de longueur nulle.

Un autre exemple concerne l’escalade silencieuse :

IF AUTH-FAILS
   EXEC CICS START TRANSID('ALTID')
   EXEC CICS RETURN

If ALTID correspond à une transaction avec des privilèges plus importants ou des fonctionnalités plus larges, et ne comporte pas de vérifications de rôle, cette solution de secours introduit un accès involontaire.

Les risques ici proviennent généralement de :

  • Utilisation de START, XCTL ou LINK pour changer de programme en fonction des états d'erreur
  • ID de programme réutilisés dans plusieurs codes de transaction
  • Logique RETURN qui diffère la validation aux modules en aval
  • Valeurs de zone de communication qui dictent le flux sans contrôles d'intégrité

L'analyse statique doit générer un graphe de transactions complet pour identifier les programmes comportant plusieurs chemins d'entrée et mettre en évidence ceux qui reçoivent le contrôle après une validation incomplète. Même lorsque les fonctions semblent isolées, des flux cachés peuvent permettre aux attaquants de déclencher des opérations privilégiées hors de leur contexte d'utilisation prévu.

Gestion de l'obscurcissement de la logique de sécurité complexe

L'un des aspects les plus complexes de la sécurisation des applications CICS existantes est de démêler les logiques de sécurité obscurcies ou profondément imbriquées. De nombreux programmes CICS ont évolué au fil des décennies, ont été gérés par différentes équipes et ont intégré plusieurs niveaux de gestion des accès. Par conséquent, les décisions de sécurité clés sont souvent enfouies dans des chemins inaccessibles, répliquées entre plusieurs modules ou fragmentées en routines. L'analyse statique doit permettre de reconstituer ces schémas et de révéler où des hypothèses ou des omissions ont introduit des risques.

Identification des chemins d'autorisation fractionnés sur plusieurs programmes

Les développeurs CICS mettent généralement en œuvre une programmation pseudo-conversationnelle pour maintenir l'état lors de multiples interactions utilisateur. Ce faisant, ils peuvent involontairement séparer l'authentification de l'autorisation. Un programme vérifie les identifiants, un autre définit les indicateurs de session et un troisième effectue les contrôles d'accès. Si un élément de cette chaîne est déconnecté ou réutilisé dans un autre contexte, cela crée une faille de sécurité.

Exemple :

Programme 1:

IF USERID = 'SUPPORT1'
   MOVE 'OK' TO SESSION-AUTH
EXEC CICS RETURN TRANSID('TX02')

Programme 2:

IF SESSION-AUTH = 'OK'
   PERFORM PROCESS-ADMIN-DATA

Cela semble sécurisé si utilisé comme prévu. Mais si une autre transaction démarre directement le programme 2 sans passer par le programme 1, la variable SESSION-AUTH Il se peut que l'initialisation soit inexistante ou falsifiée. Le deuxième programme s'assure que la session est valide en se basant uniquement sur une variable, sans revérifier les informations d'identification.

L'analyse statique doit suivre les affectations variables à travers les transitions du programme, en particulier :

  • Lorsqu'un programme définit un indicateur qu'un autre programme lit pour les décisions d'accès
  • Lorsque la logique d'autorisation existe en dehors de la logique d'authentification
  • Lorsque les programmes peuvent être lancés directement et contourner la validation d'entrée normale

Ces modèles sont extrêmement courants dans les conceptions héritées et sont souvent oubliés dans les révisions manuelles.

Contrôler les déviations de flux via les modes de débogage ou de test internes

Les développeurs incluent parfois des indicateurs cachés ou des modes de débogage pour faciliter les tests. Si ces fonctionnalités ne sont pas supprimées avant le déploiement, ou si elles sont accessibles depuis les terminaux de production, elles peuvent constituer une porte dérobée vers des parties sensibles de l'application.

Exemple : 

IF COMM-FLAG = 'DEBUG'
   PERFORM BYPASS-AUTH-CHECK

Ou plus subtilement :

IF CURRENT-TIME > '210000'  
   PERFORM EMERGENCY-ROUTINE

Dans le second cas, une routine en dehors des heures de bureau peut contourner certains contrôles de sécurité habituels, notamment pour les tâches par lots ou les interventions d'urgence. En revanche, si elle peut être déclenchée depuis une session interactive, elle ouvre la voie à un vecteur d'attaque basé sur le timing.

Lors de la recherche d'une logique obscure ou risquée, l'analyse statique doit donner la priorité à :

  • Conditions inhabituelles contrôlant la logique de sécurité (heure du jour, ID du terminal, code régional)
  • Drapeaux tels que DEBUG, DEV, OVERRIDE, TEST ou BACKDOOR
  • Contrôles d'accès ignorés dans des conditions d'exécution spécifiques
  • Chemins GOTO ou PERFORM qui sautent autour des branches de validation

L’objectif est de faire apparaître tout ce qui permet à l’exécution de passer dans un code privilégié sans contrôle d’autorisation direct et visible.

Routines réutilisées avec un contrôle d'accès incohérent

Dans de nombreuses applications CICS de grande envergure, les développeurs réutilisent des routines communes pour l'accès aux données ou la logique métier. Ces routines peuvent être invoquées aussi bien par des transactions publiques que par des utilitaires d'administration internes. Si la logique partagée suppose que l'appelant a déjà validé le rôle de l'utilisateur, ce qui n'est pas toujours le cas, il s'agit d'une vulnérabilité indirecte.

Une structure classique ressemble à ceci :

PERFORM UPDATE-ACCT-INFO

...

UPDATE-ACCT-INFO.
   IF ROLE = 'ADMIN'
      EXEC CICS WRITE FILE('ACCTDB')

Ceci n'est sécurisé que si chaque appelant de UPDATE-ACCT-INFO définit correctement le ROLE variable. Si une autre partie de l'application appelle cette routine avec ROLE non initialisé, ou si l'appelant le définit de manière incorrecte sur la base d'une vérification faible, un accès non autorisé peut se produire.

Les analyses statiques doivent signaler :

  • Routines partagées qui exécutent des actions sensibles à la sécurité
  • Absence de validation locale au sein des routines partagées
  • Variables utilisées pour les décisions d'accès définies en externe
  • Attributions de rôles qui se produisent loin du point d'application

Cette forme d'obfuscation ne résulte pas d'une dissimulation intentionnelle, mais d'une dérive architecturale à long terme. La réutilisation des composants entre les modules dégrade les hypothèses d'accès initiales. Seuls un traçage approfondi du code et une corrélation contextuelle peuvent révéler ces risques.

L'utilisation de SMART TS XL pour détecter et éliminer les vulnérabilités des transactions CICS

La gestion des analyses de sécurité dans les systèmes mainframe existants est intrinsèquement complexe. Les environnements CICS manquent souvent de structure centralisée, disposent d'une documentation moderne minimale et s'appuient sur des décennies d'évolution procédurale. SMART TS XL Résout ces problèmes en proposant un moteur d'analyse statique spécialement conçu pour les modèles COBOL, PL/I, JCL et CICS. Contrairement aux outils génériques, il comprend l'architecture et les conventions propres aux écosystèmes mainframe.

Reconstruction de flux multi-niveaux pour CICS

SMART TS XL Analyse l'intégralité des portefeuilles de candidatures et établit une cartographie des flux interprogrammes. Cela comprend :

  • Mappages transaction-programme
  • Transitions de programme à programme utilisant LINK, XCTL et RETURN
  • Propagation des variables et des zones de comparaison
  • Logique de contrôle basée sur les rôles et traçage des conditions d'entrée

En reconstruisant des chaînes d’exécution complètes, il peut détecter quand un programme qui suppose un contexte de confiance est réellement accessible à partir de plusieurs points, y compris potentiellement non vérifiés.

Exemple de cas d'utilisation :

Un audit interne a révélé une faille de sécurité dans la transaction TX94 a déclenché un programme qui était initialement destiné uniquement à l'usage des administrateurs. SMART TS XL J'ai tracé le graphe d'appels du programme, découvert que l'indicateur de contrôle était transmis via un champ de zone de virgule non coché et identifié cinq autres transactions ayant accès à la même entrée de programme. Le traçage manuel n'a pas détecté ce problème.

Détection des indicateurs de contrôle cachés et des chemins d'accès obscurcis

De nombreux programmes hérités contiennent des conditions de remplacement ou des routines d'urgence intégrées. Celles-ci sont souvent difficiles à localiser manuellement en raison de leur imbrication profonde, de la dénomination inhabituelle des variables ou de leur placement dans une logique de secours. SMART TS XL utilise des analyses basées sur des règles et des correspondances de modèles pour extraire :

  • Branches conditionnelles contrôlées par des valeurs d'indicateur rarement utilisées
  • Logique déclenchée en fonction de l'ID du terminal, de l'heure de la journée ou des métadonnées de la tâche
  • Contourner les branches à l'aide d'indicateurs de zone de comparaison, d'identifiants utilisateur codés en dur ou de routines de niveau macro

Il fait apparaître toutes les instances de points de décision potentiellement privilégiés et les classe en fonction de leur accessibilité, de l'exposition des transactions et du potentiel d'escalade des privilèges.

Règles de vulnérabilité automatisées pour les constructions CICS

Contrairement aux scanners de surface, SMART TS XL Inclut des règles intégrées adaptées aux programmes COBOL-CICS. Celles-ci identifient les vulnérabilités liées à :

  • Utilisation non sécurisée des fonctions EXEC CICS ASSIGN et ADDRESS
  • Logique d'accès incohérente dans les routines PERFORMées
  • Validation manquante avant les commandes WRITE, DELETE ou START
  • Flux pseudo-conversationnels obsolètes avec une gestion d'état faible

Ces règles peuvent être personnalisées en fonction de l'environnement, de la fonction métier ou des critères d'audit. Elles sont particulièrement utiles pour identifier les fausses hypothèses laissées par les anciennes équipes de développement.

Remédiation accélérée avec suivi des impacts

Une fois qu'une vulnérabilité est signalée, la correction peut être accélérée grâce à SMART TS XLFonctionnalité de traçage. Pour toute branche logique ou fonction de programme, il peut afficher :

  • Toutes les transactions qui y mènent
  • Tous les modules qu'il appelle
  • Toutes les variables dont cela dépend
  • Toute logique d'accès qu'il contourne

Cette cartographie des traces permet aux développeurs et aux auditeurs de déterminer immédiatement si une faille est isolée ou systémique. Elle réduit également le temps passé à cartographier manuellement les dépendances et diminue le risque d'introduction de nouveaux bugs lors de l'application des correctifs.

Conclusion et prochaines étapes de l'examen de sécurité

Les applications CICS existantes contiennent une logique métier essentielle, mais leur ancienneté et leur complexité créent des angles morts de sécurité que les méthodes standard négligent souvent. L'analyse statique offre un moyen fiable de détecter les risques cachés avant qu'ils ne soient exploités, en particulier lorsqu'elle cible non seulement la syntaxe ou les extraits de code, mais aussi le flux de contrôle et les hypothèses d'accès plus larges des transactions.

Dans cet article, nous avons examiné les types de défauts propres aux systèmes CICS :

  • Logique d'autorisation dispersée dans des programmes faiblement couplés
  • Modèles de commandes vulnérables comme ASSIGN et ADDRESS sans validation
  • Transactions de secours et chemins de débogage qui contournent les vérifications normales
  • Routines réutilisées supposant une entrée fiable de la part des appelants

Pour les organisations gérant de vastes portefeuilles CICS, une approche fragmentée de la sécurité n'est plus viable. Les menaces modernes peuvent exploiter une seule erreur enfouie dans des centaines de modules. L'analyse statique, appliquée avec une connaissance approfondie du contexte, peut révéler ces problèmes avant leur mise en service ou leur audit.

Voici les principales actions à envisager comme prochaines étapes :

  • Créez une carte complète des transactions vers les programmes, y compris tous les chemins XCTL et LINK
  • Identifier et refactoriser toute logique métier partagée qui effectue des opérations privilégiées
  • Auditer toutes les branches influencées par les indicateurs de zone de comparaison ou les décisions basées sur les terminaux
  • Établir une validation de sécurité au point d'entrée de chaque transaction
  • Revoir la logique de secours et les voies d'urgence en cas d'exposition involontaire

Pour les équipes qui cherchent à accélérer ce processus et à réduire les efforts manuels, des outils comme SMART TS XL fournir une analyse statique adaptée à l'architecture CICS, permettant un refactoring sécurisé avec une traçabilité complète des flux.

La protection des environnements mainframe exige non seulement de la vigilance, mais aussi de la visibilité. L'analyse statique est l'une des rares techniques à offrir ces deux qualités.

Contactez-nous

©2026 IN-COM Data Systems, Inc. Tous droits réservés. SMART TS XL®, LOGICIEL INTELLIGENCE®,

®