Aqua Nautilus发现了PowerShell Gallery中持续存在的关键漏洞,为恶意行为者利用和发起攻击提供了肥沃的土壤。
周三发布的一份报告中描述了这些漏洞,涉及命名策略、包所有权验证和未列出模块的暴露。PowerShell Gallery是PowerShell内容的重要存储库,广泛用于管理跨AWS和Azure等平台的云资源。
第一个缺陷揭示了一个松散的模块命名策略,允许模仿流行包的误输入攻击。这为供应链漏洞打开了大门,允许恶意模块被注入毫无戒心的用户系统。
第二个漏洞涉及对包元数据的操纵,通过模仿微软等信誉良好的实体,使恶意包看起来是真实的。
第三个漏洞暴露了未列出的包及其敏感数据,危及无意中泄露机密信息的用户。
Netenrich的主要威胁猎人John Bambenek评论道:“多年来,我们在Python和Node中看到了恶意库和模块。现在,这将恶意代码的使用带入了与PowerShell共享的项目中。缓解需要对细节的狂热关注,以确保开发人员精确地引用包并准确地完成他们想要做的事情。”
据报道,尽管Aqua Nautilus向微软安全响应中心通报了这些漏洞,并创建了一个利用这些漏洞的概念验证(POC),但这些问题仍然没有得到解决,威胁到一些用户的安全。Infosecurity已经就这些漏洞联系了微软,但还没有收到回应。
CardinalOps网络防御战略副总裁菲尔·内雷(Phil Neray)强调道:“当使用开源代码时,这是一个典型的供应链挑战。除了手动检查每一行代码之外,最好的方法是在云和内部部署基础设施中启用粒度日志记录,同时实施高保真检测,以快速警报可疑或未经授权的行为。”
根据这些指导方针,依赖于PowerShell Gallery模块进行云部署的DevOps和工程师被敦促谨慎行事,并考虑采用签名的PowerShell模块策略,使用可信的私有存储库并实施强大的监控系统。
Aqua Nautilus还强调,确保用户的安全主要取决于平台运营商,这些发现强调了加强安全措施和跨开源注册中心统一标准的迫切需要。