PowerShell Gallery tilbøjelig til typosquatting, andre forsyningskædeangreb

Microsofts PowerShell Gallery præsenterer en softwareforsyningskæderisiko på grund af dets relativt svage beskyttelse mod angribere, der ønsker at uploade ondsindede pakker til online-lageret, ifølge forskere ved Aqua Nautilus.

De testede for nylig depotets politikker vedrørende pakkenavne og ejere og fandt ud af, at en trusselaktør nemt kunne misbruge dem til at forfalske legitime pakker og gøre det svært for brugerne at identificere den sande ejer af en pakke.

Brug med forsigtighed

"Hvis din organisation bruger PowerShell-moduler fra galleriet, foreslår vi kun at bruge signerede PowerShell-moduler, bruge betroede private arkiver og udvise forsigtighed, når du downloader nye moduler/scripts fra registre," siger Yakir Kadkoda, ledende sikkerhedsforsker hos Aqua. "For det andet råder vi lignende platforme til PowerShell Gallery til at tage de nødvendige skridt for at forbedre deres sikkerhedsforanstaltninger. For eksempel bør de implementere en mekanisme, der forhindrer udviklere i at uploade moduler med navne, der ligner de eksisterende."

Kadkoda siger, at Microsoft anerkendte problemerne, da de blev informeret om dem, og hævdede, at de havde behandlet to separate problemer. "Men vi har fortsat med at tjekke, og disse problemer eksisterer stadig" fra den 16. august, siger han.

Microsoft reagerede ikke med det samme på en Dark Reading-anmodning, der søgte kommentarer.

PowerShell Gallery er et meget brugt lager til at finde, udgive og dele PowerShell-kodemoduler og såkaldte ønsket tilstandskonfigurations-ressourcer (DSC). Mange af pakkerne i registreringsdatabasen er fra betroede enheder, såsom Microsoft, AWS og VMware, mens mange andre er fra fællesskabsmedlemmer. Der har været mere end 1.6 milliarder pakkedownloads fra lageret indtil nu alene i år.

Åben for typosquatting

Et problem, som Aqua opdagede, var manglen på enhver form for beskyttelse mod typosquatting, en vildledningsteknik, som trusselsaktører i stigende grad har brugt i de senere år for at narre brugere til at downloade ondsindede pakker fra offentlige softwarelagre. Typosquatters bruger typisk navne, der fonetisk ligner navnene på populære og legitime pakker på offentlige arkiver, såsom npm, PyPI og Maven. De er så afhængige af, at brugere laver stavefejl, når de søger efter disse pakker og downloader deres ondsindede pakke i stedet. Teknikken er blevet en almindelig softwareforsyningskædeangrebsvektor.

Aqua fandt ud af, at PowerShell Gallerys politikker ikke gjorde meget for at beskytte mod et sådant bedrag. For eksempel fulgte navnene på de fleste Azure-pakker på lageret et specifikt mønster, nemlig "Az. ." Nogle andre meget populære Azure-pakker som "Aztable" fulgte dog ikke mønsteret og havde ikke en prik i navnet.  

Aqua fandt ud af, at der ikke er nogen begrænsninger for de præfikser, som pakkeudviklere kan bruge, når de navngiver deres pakker. For eksempel, da Aquas forskere lavede en næsten perfekt kopi af Aztable og mærkede den Az.Table, havde de ingen problemer med at uploade proof-of-concept (PoC)-koden til PowerShell Gallery. Tilbagekaldskode, som Aqua inkluderede i PoC'en, viste, at flere værter på tværs af forskellige cloud-tjenester havde downloadet pakken alene i løbet af de første par timer.

"Efter vores mening har andre registre flere beskyttelsesforanstaltninger," siger Kadkoda. "For eksempel bruger npm, en anden registreringsplatform fra Microsoft, 'Moniker'-regler, der er specielt designet til at bekæmpe typosquatting," siger han. Et eksempel: Da en pakke med navnet "react-native" allerede eksisterer på npm, er der ingen, der mærker deres modul med variation såsom "reactnative", "react_native" eller "react.native."

Nem at forfalske ejeridentitet

Et andet problem, som Aqua afdækkede med PowerShell Gallerys politikker, er, hvordan de tillod en trusselsaktør at få en ondsindet pakke til at fremstå legitim ved at forfalske vigtige detaljer såsom forfatter(e), beskrivelse og ophavsretsfelter. "En angriber kan frit vælge et hvilket som helst navn, når han opretter en bruger i PowerShell Gallery," sagde Aqua i sit blogindlæg. "Derfor er det en udfordrende opgave at bestemme den faktiske forfatter til et PowerShell-modul i PowerShell Gallery."

Intetanende brugere, der finder disse pakker på PowerShell Gallery, kan nemt blive narret til at tro, at forfatteren af ​​den ondsindede pakke er en legitim enhed, såsom Microsoft, sagde Aqua.

Derudover viste Aquas analyse, at en API i PowerShell Gallerys dybest set gav trusselsaktører en måde at finde unoterede moduler i registreringsdatabasen - og potentielt alle følsomme data forbundet med disse moduler. Typisk er et unoteret modul privat og bør ikke være noget, som en angriber ville være i stand til at finde via en søgning i depotet. Aqua-forskere fandt ud af, at de ikke kun kunne trække sådanne moduler op, de fandt også et, der indeholdt følsomme hemmeligheder, der tilhørte en stor teknologivirksomhed.

Kadkoda siger, at der ikke er noget, der tyder på, at trusselsaktører har udnyttet disse svagheder til at snige ondsindet pakke ind i PowerShell Gallery. Truslen er dog reel. "Det er vigtigt at bemærke, at de ifølge Microsoft scanner PowerShell-moduler/scripts uploadet til galleriet," siger Kadkoda. "Dette er en god foranstaltning til at blokere ondsindede uploads. Det forbliver dog et kat-og-mus-spil mellem Microsofts løsning og angribere.”

• SEO Powered Content & PR Distribution. Bliv forstærket i dag.
• PlatoData.Network Vertical Generative Ai. Styrk dig selv. Adgang her.
• PlatoAiStream. Web3 intelligens. Viden forstærket. Adgang her.
• PlatoESG. Automotive/elbiler, Kulstof, CleanTech, Energi, Miljø, Solenergi, Affaldshåndtering. Adgang her.
• PlatoHealth. Bioteknologiske og kliniske forsøgs intelligens. Adgang her.
• ChartPrime. Løft dit handelsspil med ChartPrime. Adgang her.
• BlockOffsets. Modernisering af miljømæssig offset-ejerskab. Adgang her.
• Kilde: https://www.darkreading.com/application-security/powershell-gallery-prone-to-typosquatting-other-supply-chain-attacks