Galeri PowerShell Microsoft menghadirkan risiko rantai pasokan perangkat lunak karena perlindungannya yang relatif lemah terhadap penyerang yang ingin mengunggah paket berbahaya ke repositori online, menurut peneliti di Aqua Nautilus.
Mereka baru-baru ini menguji kebijakan repositori mengenai nama dan pemilik paket dan menemukan bahwa pelaku ancaman dapat dengan mudah menyalahgunakannya untuk memalsukan paket yang sah dan mempersulit pengguna untuk mengidentifikasi pemilik sebenarnya dari sebuah paket.
Gunakan Dengan Hati-hati
โJika organisasi Anda menggunakan modul PowerShell dari galeri, kami menyarankan hanya menggunakan modul PowerShell yang ditandatangani, memanfaatkan repositori pribadi tepercaya, dan berhati-hati saat mengunduh modul/skrip baru dari registri,โ kata Yakir Kadkoda, peneliti keamanan utama di Aqua. โKedua, kami menyarankan platform serupa dengan Galeri PowerShell untuk mengambil langkah-langkah yang diperlukan guna meningkatkan langkah-langkah keamanan mereka. Misalnya, mereka harus menerapkan mekanisme yang mencegah pengembang mengunggah modul dengan nama yang terlalu mirip dengan yang sudah ada.โ
Kadkoda mengatakan Microsoft mengakui masalah tersebut ketika diberitahu tentang masalah tersebut dan mengklaim bahwa pihaknya telah mengatasi dua masalah terpisah. โNamun, kami terus memeriksanya, dan masalah ini masih adaโ hingga 16 Agustus, katanya.
Microsoft tidak segera menanggapi permintaan Dark Reading yang meminta komentar.
Galeri PowerShell adalah repositori yang banyak digunakan untuk menemukan, menerbitkan, dan berbagi modul kode PowerShell dan apa yang disebut sumber daya konfigurasi status yang diinginkan (DSC). Banyak paket di registri berasal dari entitas tepercaya, seperti Microsoft, AWS, dan VMware, sementara banyak lainnya berasal dari anggota komunitas. Terdapat lebih dari 1.6 miliar unduhan paket dari repositori sepanjang tahun ini saja.
Terbuka untuk Typosquating
Salah satu masalah yang ditemukan Aqua adalah kurangnya perlindungan terhadap kesalahan ketik, sebuah teknik penipuan yang semakin sering digunakan oleh pelaku ancaman dalam beberapa tahun terakhir untuk mengelabui pengguna agar mengunduh paket berbahaya dari repositori perangkat lunak publik. Typosquatter biasanya menggunakan nama yang secara fonetis mirip dengan nama paket populer dan sah di repositori publik, seperti npm, PyPI, dan Maven. Mereka kemudian mengandalkan pengguna yang membuat kesalahan ketik saat mencari paket-paket ini dan malah mengunduh paket berbahaya mereka. Teknik ini telah menjadi vektor serangan rantai pasokan perangkat lunak yang umum.
Aqua menyadari bahwa kebijakan Galeri PowerShell tidak banyak melindungi dari penipuan semacam itu. Misalnya, nama sebagian besar paket Azure di repositori mengikuti pola tertentu, yaitu, โAz. .โ Namun, beberapa paket Azure lain yang sangat populer seperti โAztableโ tidak mengikuti pola tersebut dan tidak memiliki titik pada namanya.
Aqua menemukan bahwa tidak ada batasan pada awalan yang dapat digunakan oleh pengembang paket saat memberi nama paket mereka. Misalnya, saat peneliti Aqua membuat replika Aztable yang hampir sempurna dan menamakannya Az.Table, mereka tidak kesulitan mengunggah kode bukti konsep (PoC) ke Galeri PowerShell. Kode panggilan balik yang disertakan Aqua dalam PoC menunjukkan bahwa beberapa host di berbagai layanan cloud telah mengunduh paket tersebut dalam beberapa jam pertama saja.
โMenurut pendapat kami, pendaftar lain memiliki tindakan perlindungan yang lebih,โ kata Kadkoda. โMisalnya, npm, platform registri lain dari Microsoft, menggunakan aturan 'Moniker' yang dirancang khusus untuk memerangi kesalahan ketik,โ katanya. Salah satu contoh: Karena paket bernama โreact-nativeโ sudah ada di npm, tidak ada yang memberi label pada modulnya dengan variasi seperti โreactnativeโ, โreact_nativeโ, atau โreact.nativeโ.
Identitas Pemilik yang Mudah Dipalsukan
Masalah lain yang ditemukan Aqua dengan kebijakan Galeri PowerShell adalah bagaimana mereka mengizinkan pelaku ancaman membuat paket berbahaya tampak sah dengan memalsukan detail penting seperti bidang Penulis, Deskripsi, dan Hak Cipta. โSeorang penyerang dapat dengan bebas memilih nama apa pun saat membuat pengguna di Galeri PowerShell,โ kata Aqua dalam postingan blognya. โOleh karena itu, menentukan penulis sebenarnya dari modul PowerShell di Galeri PowerShell merupakan tugas yang menantang.โ
Pengguna yang tidak menaruh curiga dan menemukan paket-paket ini di Galeri PowerShell dapat dengan mudah tertipu dan percaya bahwa pembuat paket jahat tersebut adalah entitas yang sah, seperti Microsoft, kata Aqua.
Selain itu, analisis Aqua menunjukkan bahwa satu API di Galeri PowerShell pada dasarnya memberi pelaku ancaman cara untuk menemukan modul yang tidak terdaftar di registri โ dan kemungkinan data sensitif apa pun yang terkait dengan modul tersebut. Biasanya, modul yang tidak terdaftar bersifat pribadi dan tidak boleh menjadi sesuatu yang dapat ditemukan oleh penyerang melalui pencarian di repositori. Peneliti Aqua menemukan bahwa mereka tidak hanya dapat menarik modul tersebut, mereka juga menemukan modul yang berisi rahasia sensitif milik sebuah perusahaan teknologi besar.
Kadkoda mengatakan tidak ada bukti yang menunjukkan bahwa pelaku ancaman telah memanfaatkan kelemahan ini untuk menyelundupkan paket berbahaya ke Galeri PowerShell. Namun ancamannya nyata. โPenting untuk dicatat bahwa, menurut Microsoft, mereka memindai modul/skrip PowerShell yang diunggah ke galeri,โ kata Kadkoda. โIni adalah langkah yang baik untuk memblokir unggahan berbahaya. Namun, ini masih merupakan permainan kucing-kucingan antara solusi Microsoft dan penyerang.โ
- Konten Bertenaga SEO & Distribusi PR. Dapatkan Amplifikasi Hari Ini.
- PlatoData.Jaringan Vertikal Generatif Ai. Berdayakan Diri Anda. Akses Di Sini.
- PlatoAiStream. Intelijen Web3. Pengetahuan Diperkuat. Akses Di Sini.
- PlatoESG. Otomotif / EV, Karbon, teknologi bersih, energi, Lingkungan Hidup, Tenaga surya, Penanganan limbah. Akses Di Sini.
- PlatoHealth. Kecerdasan Uji Coba Biotek dan Klinis. Akses Di Sini.
- ChartPrime. Tingkatkan Game Trading Anda dengan ChartPrime. Akses Di Sini.
- BlockOffset. Modernisasi Kepemilikan Offset Lingkungan. Akses Di Sini.
- Sumber: https://www.darkreading.com/application-security/powershell-gallery-prone-to-typosquatting-other-supply-chain-attacks
- :memiliki
- :adalah
- :bukan
- $NAIK
- 1
- 16
- 7
- a
- Sanggup
- Tentang Kami
- penyalahgunaan
- Menurut
- diakui
- di seluruh
- aktor
- sebenarnya
- tambahan
- menasihati
- terhadap
- melawan penyerang
- diizinkan
- sendirian
- sudah
- juga
- an
- analisis
- dan
- Lain
- Apa pun
- api
- muncul
- aqua
- ADALAH
- AS
- terkait
- At
- menyerang
- Serangan
- pada bulan Agustus
- penulis
- AWS
- Biru langit
- Pada dasarnya
- BE
- karena
- menjadi
- menjadi
- percaya
- antara
- Milyar
- Memblokir
- Blog
- by
- CAN
- hati-hati
- rantai
- menantang
- memeriksa
- Pilih
- diklaim
- awan
- layanan cloud
- kode
- memerangi
- komentar
- Umum
- masyarakat
- perusahaan
- konfigurasi
- berisi
- terus
- hak cipta
- bisa
- membuat
- sangat penting
- gelap
- Bacaan gelap
- data
- deskripsi
- dirancang
- diinginkan
- rincian
- menentukan
- pengembang
- MELAKUKAN
- ditemukan
- DOT
- download
- mudah
- mempertinggi
- entitas
- entitas
- bukti
- contoh
- ada
- ada
- ada
- jauh
- beberapa
- Fields
- Menemukan
- temuan
- Pertama
- mengikuti
- diikuti
- Untuk
- ditemukan
- dari
- Galeri
- permainan
- baik
- memiliki
- Sulit
- Memiliki
- he
- host
- JAM
- Seterpercayaapakah Olymp Trade? Kesimpulan
- Namun
- HTTPS
- mengenali
- if
- segera
- melaksanakan
- penting
- in
- termasuk
- makin
- informasi
- contoh
- sebagai gantinya
- ke
- isu
- masalah
- IT
- NYA
- jpg
- Jenis
- Label
- Kekurangan
- besar
- memimpin
- sah
- leveraged
- sedikit
- membuat
- Membuat
- banyak
- Maven
- mengukur
- ukuran
- mekanisme
- Anggota
- Microsoft
- Modul
- Modul
- lebih
- paling
- nama
- Bernama
- yaitu
- nama
- penamaan
- asli
- hampir
- perlu
- New
- tidak
- of
- on
- ONE
- yang
- secara online
- hanya
- Pendapat
- or
- organisasi
- Lainnya
- Lainnya
- kami
- pemilik
- pemilik
- paket
- paket
- pola
- sempurna
- Platform
- Platform
- plato
- Kecerdasan Data Plato
- Data Plato
- PoC
- Kebijakan
- Populer
- pose
- Pos
- berpotensi
- PowerShell
- hadiah
- mencegah
- swasta
- Masalah
- melindungi
- perlindungan
- Protektif
- publik
- Penerbitan
- Bereaksi
- Bacaan
- nyata
- baru
- baru-baru ini
- mengenai
- pendaftar
- pendaftaran
- relatif
- mengandalkan
- sisa
- menjawab
- gudang
- permintaan
- peneliti
- peneliti
- Sumber
- Menanggapi
- pembatasan
- Risiko
- aturan
- s
- Tersebut
- mengatakan
- pemindaian
- Pencarian
- mencari
- Kedua
- keamanan
- Pengamanan
- pencarian
- peka
- terpisah
- Layanan
- beberapa
- berbagi
- harus
- menunjukkan
- tertanda
- mirip
- sejak
- menyelinap
- So
- sejauh ini
- Perangkat lunak
- rantai pasokan perangkat lunak
- larutan
- beberapa
- sesuatu
- tertentu
- Secara khusus
- Negara
- Tangga
- Masih
- seperti itu
- menyarankan
- menyediakan
- supply chain
- tabel
- Mengambil
- tugas
- Teknologi
- diuji
- dari
- bahwa
- Grafik
- mereka
- Mereka
- kemudian
- Sana.
- karena itu
- Ini
- mereka
- ini
- tahun ini
- itu
- ancaman
- aktor ancaman
- untuk
- terlalu
- benar
- Terpercaya
- dua
- khas
- terbongkar
- upload
- Mengunggah
- menggunakan
- bekas
- Pengguna
- Pengguna
- kegunaan
- menggunakan
- Memanfaatkan
- berbagai
- Ve
- sangat
- melalui
- vmware
- ingin
- adalah
- Cara..
- we
- ketika
- sementara
- SIAPA
- sangat
- dengan
- akan
- tahun
- tahun
- Anda
- zephyrnet.dll