La PowerShell Gallery di Microsoft presenta un rischio per la catena di fornitura del software a causa delle sue protezioni relativamente deboli contro gli aggressori che desiderano caricare pacchetti dannosi nel repository online, secondo i ricercatori dell'Aqua Nautilus.
Recentemente hanno testato le politiche del repository relative ai nomi e ai proprietari dei pacchetti e hanno scoperto che un autore di minacce potrebbe facilmente abusarne per falsificare pacchetti legittimi e rendere difficile per gli utenti identificare il vero proprietario di un pacchetto.
Usare con cautela
"Se la tua organizzazione utilizza moduli PowerShell dalla galleria, ti suggeriamo di utilizzare solo moduli PowerShell firmati, utilizzare repository privati affidabili e prestare attenzione quando scarichi nuovi moduli/script dai registri", afferma Yakir Kadkoda, capo ricercatore sulla sicurezza presso Aqua. “In secondo luogo, consigliamo alle piattaforme simili a PowerShell Gallery di adottare le misure necessarie per migliorare le proprie misure di sicurezza. Ad esempio, dovrebbero implementare un meccanismo che impedisca agli sviluppatori di caricare moduli con nomi troppo simili a quelli esistenti”.
Kadkoda afferma che Microsoft ha riconosciuto i problemi quando ne è stata informata e ha affermato di aver affrontato due questioni separate. "Tuttavia, abbiamo continuato a verificare e questi problemi esistono ancora" al 16 agosto, afferma.
Microsoft non ha risposto immediatamente a una richiesta di Dark Reading in cerca di commenti.
PowerShell Gallery è un repository ampiamente utilizzato per trovare, pubblicare e condividere moduli di codice PowerShell e le cosiddette risorse DSC (Desiderate State Configuration). Molti dei pacchetti nel registro provengono da entità attendibili, come Microsoft, AWS e VMware, mentre molti altri provengono da membri della comunità. Solo quest'anno sono stati scaricati più di 1.6 miliardi di pacchetti dal repository.
Aperto al Typosquatting
Un problema scoperto da Aqua è stata la mancanza di qualsiasi tipo di protezione contro il typosquatting, una tecnica di inganno che gli autori delle minacce hanno utilizzato sempre più negli ultimi anni per indurre gli utenti a scaricare pacchetti dannosi da repository di software pubblici. I typosquatter utilizzano in genere nomi che sono foneticamente simili ai nomi di pacchetti popolari e legittimi su repository pubblici, come npm, PyPI e Maven. Quindi si affidano agli utenti che commettono errori di battitura durante la ricerca di questi pacchetti e scaricano invece il loro pacchetto dannoso. La tecnica è diventata un comune vettore di attacco alla catena di fornitura del software.
Aqua ha scoperto che le politiche di PowerShell Gallery facevano ben poco per proteggere da tale inganno. Ad esempio, i nomi della maggior parte dei pacchetti di Azure nel repository seguivano uno schema specifico, ovvero "Az. .” Tuttavia, alcuni altri pacchetti Azure molto popolari come “Aztable” non seguivano lo schema e non avevano un punto nel nome.
Aqua ha scoperto che non ci sono restrizioni sui prefissi che gli sviluppatori di pacchetti possono usare quando nominano i loro pacchetti. Ad esempio, quando i ricercatori di Aqua hanno realizzato una replica quasi perfetta di Aztable e l'hanno etichettata Az.Table, non hanno avuto problemi a caricare il codice proof-of-concept (PoC) su PowerShell Gallery. Il codice di richiamata incluso da Aqua nel PoC mostrava che diversi host su vari servizi cloud avevano scaricato il pacchetto solo nelle prime ore.
"A nostro avviso, altri registri hanno misure più protettive", afferma Kadkoda. "Ad esempio, npm, un'altra piattaforma di registro di Microsoft, utilizza le regole 'Moniker' appositamente progettate per combattere il typosquatting", afferma. Un esempio: poiché un pacchetto denominato "react-native" esiste già su npm, nessuno etichetta il proprio modulo con varianti come "reactnative", "react_native" o "react.native".
È facile falsificare l'identità del proprietario
Un altro problema che Aqua ha scoperto con le policy di PowerShell Gallery è il modo in cui consentono a un autore di minacce di far sembrare legittimo un pacchetto dannoso falsificando dettagli cruciali come i campi Autore/i, Descrizione e Copyright. "Un utente malintenzionato può scegliere liberamente qualsiasi nome quando crea un utente nella PowerShell Gallery", ha affermato Aqua nel suo post sul blog. "Pertanto, determinare l'autore effettivo di un modulo PowerShell in PowerShell Gallery rappresenta un compito impegnativo."
Gli utenti ignari che trovano questi pacchetti su PowerShell Gallery possono facilmente essere indotti a credere che l'autore del pacchetto dannoso sia un'entità legittima, come Microsoft, ha affermato Aqua.
Inoltre, l'analisi di Aqua ha mostrato che un'API di PowerShell Gallery ha sostanzialmente fornito agli autori delle minacce un modo per trovare moduli non elencati nel registro e potenzialmente qualsiasi dato sensibile associato a tali moduli. In genere, un modulo non elencato è privato e non dovrebbe essere qualcosa che un utente malintenzionato possa trovare tramite una ricerca nel repository. I ricercatori di Aqua hanno scoperto che non solo potevano estrarre tali moduli, ma ne hanno anche trovato uno che conteneva segreti sensibili che appartenevano a una grande azienda tecnologica.
Kadkoda afferma che non ci sono prove che suggeriscano che gli autori delle minacce abbiano sfruttato queste debolezze per introdurre pacchetti dannosi in PowerShell Gallery. Tuttavia, la minaccia è reale. "È importante notare che, secondo Microsoft, eseguono la scansione dei moduli/script di PowerShell caricati nella galleria", afferma Kadkoda. “Questa è una buona misura per bloccare i caricamenti dannosi. Tuttavia, rimane un gioco del gatto e del topo tra la soluzione di Microsoft e gli aggressori."
- Distribuzione di contenuti basati su SEO e PR. Ricevi amplificazione oggi.
- PlatoData.Network Generativo verticale Ai. Potenzia te stesso. Accedi qui.
- PlatoAiStream. Intelligenza Web3. Conoscenza amplificata. Accedi qui.
- PlatoneESG. Automobilistico/VE, Carbonio, Tecnologia pulita, Energia, Ambiente, Solare, Gestione dei rifiuti. Accedi qui.
- Platone Salute. Intelligence sulle biotecnologie e sulle sperimentazioni cliniche. Accedi qui.
- Grafico Prime. Migliora il tuo gioco di trading con ChartPrime. Accedi qui.
- BlockOffset. Modernizzare la proprietà della compensazione ambientale. Accedi qui.
- Fonte: https://www.darkreading.com/application-security/powershell-gallery-prone-to-typosquatting-other-supply-chain-attacks
- :ha
- :È
- :non
- $ SU
- 1
- 16
- 7
- a
- capace
- Chi siamo
- abuso
- Secondo
- riconosciuto
- operanti in
- attori
- presenti
- aggiunta
- aiutarti
- contro
- contro gli aggressori
- permesso
- da solo
- già
- anche
- an
- .
- ed
- Un altro
- in qualsiasi
- api
- apparire
- acqua
- SONO
- AS
- associato
- At
- attacco
- attacchi
- Agosto
- autore
- AWS
- azzurro
- fondamentalmente
- BE
- perché
- diventare
- stato
- credendo
- fra
- Miliardo
- Bloccare
- Blog
- by
- Materiale
- cautela
- catena
- impegnativo
- dai un'occhiata
- Scegli
- rivendicato
- Cloud
- servizi cloud
- codice
- combattere
- commento
- Uncommon
- comunità
- azienda
- Configurazione
- contenute
- continua
- copyright
- potuto
- Creazione
- cruciale
- Scuro
- Lettura oscura
- dati
- descrizione
- progettato
- desiderato
- dettagli
- determinazione
- sviluppatori
- DID
- scoperto
- DOT
- download
- facilmente
- accrescere
- entità
- entità
- prova
- esempio
- esistere
- esistente
- esiste
- lontano
- pochi
- campi
- Trovare
- ricerca
- Nome
- seguire
- seguito
- Nel
- essere trovato
- da
- Galleria
- gioco
- buono
- ha avuto
- Hard
- Avere
- he
- padroni di casa
- ORE
- Come
- Tuttavia
- HTTPS
- identificare
- if
- subito
- realizzare
- importante
- in
- incluso
- sempre più
- informati
- esempio
- invece
- ai miglioramenti
- problema
- sicurezza
- IT
- SUO
- jpg
- Genere
- per il tuo brand
- Dipingere
- grandi
- portare
- legittimo
- leveraged
- piccolo
- make
- Fare
- molti
- Maven
- misurare
- analisi
- meccanismo
- Utenti
- Microsoft
- Moduli
- moduli
- Scopri di più
- maggior parte
- Nome
- Detto
- cioè
- nomi
- di denominazione
- nativo
- quasi
- necessaria
- New
- no
- of
- on
- ONE
- quelli
- online
- esclusivamente
- Opinione
- or
- organizzazione
- Altro
- Altri
- nostro
- proprietario
- proprietari
- pacchetto
- Packages
- Cartamodello
- perfetta
- piattaforma
- Piattaforme
- Platone
- Platone Data Intelligence
- PlatoneDati
- PoC
- Termini e Condizioni
- Popolare
- pone
- Post
- potenzialmente
- PowerShell
- regali
- impedisce
- un bagno
- Problema
- protegge
- protezione
- protettivo
- la percezione
- editoriale
- Reagire
- Lettura
- di rose
- recente
- recentemente
- per quanto riguarda
- registri
- registro
- relativamente
- fare affidamento
- resti
- replica
- deposito
- richiesta
- ricercatore
- ricercatori
- Risorse
- Rispondere
- restrizioni
- Rischio
- norme
- s
- Suddetto
- dice
- scansione
- Cerca
- ricerca
- Secondo
- problemi di
- Misure di sicurezza
- cerca
- delicata
- separato
- Servizi
- alcuni
- compartecipazione
- dovrebbero
- ha mostrato
- firmato
- simile
- da
- nascosto
- So
- finora
- Software
- catena di fornitura del software
- soluzione
- alcuni
- qualcosa
- specifico
- in particolare
- Regione / Stato
- Passi
- Ancora
- tale
- suggerire
- fornire
- supply chain
- tavolo
- Fai
- Task
- Tecnologia
- testato
- di
- che
- I
- loro
- Li
- poi
- Là.
- perciò
- Strumenti Bowman per analizzare le seguenti finiture:
- di
- questo
- quest'anno
- quelli
- minaccia
- attori della minaccia
- a
- pure
- vero
- di fiducia
- seconda
- tipicamente
- scoperto
- caricato
- Caricamento
- uso
- utilizzato
- Utente
- utenti
- usa
- utilizzando
- Utilizzando
- vario
- Ve
- molto
- via
- vmware
- volere
- Prima
- Modo..
- we
- quando
- while
- OMS
- ampiamente
- con
- sarebbe
- anno
- anni
- Trasferimento da aeroporto a Sharm
- zefiro