行业新闻与博客

PowerShell Gallery 中的严重缺陷导致恶意攻击

Aqua Nautilus 发现了 PowerShell Gallery 中持续存在的关键漏洞,为恶意行为者利用和发起攻击提供了肥沃的土壤。 

周三发布的通报中描述的这些漏洞与命名策略、包所有权验证和未列出模块的暴露有关。PowerShell Gallery 是 PowerShell 内容的重要存储库,广泛用于跨 AWS 和 Azure 等平台管理云资源。

第一个缺陷揭示了宽松的模块命名策略,导致模仿流行软件包的误植攻击。这为供应链漏洞打开了大门,允许恶意模块被注入毫无戒心的用户系统。 

第二个漏洞涉及对程序包元数据的操纵,通过冒充 Microsoft 等信誉良好的实体,使恶意程序包显得真实。 

第三个缺陷暴露了未列出的软件包及其敏感数据,危及无意中暴露机密信息的用户。

“多年来,我们在 Python 和 Node.js 中看到了恶意库和模块。现在,这将恶意代码的使用带入了与 PowerShell 的共享项目中。” Netenrich 的主要威胁追踪者 John Bambenek 评论道。“缓解措施需要对细节的狂热关注,以确保开发人员准确地引用包并准确地实现他们想要做的事情。”

据报道,尽管 Aqua Nautilus 已将这些漏洞通知了 Microsoft 安全响应中心,并创建了利用这些漏洞的概念验证 (POC),但问题仍未得到解决,威胁到了多个用户的安全。

Infosecurity已就这些漏洞联系了微软,但截至发稿时尚未收到回复。

“使用开源代码时,这是一个典型的供应链挑战 [...] 你怎么知道你可以信任它?” 重点介绍了 CardinalOps 网络防御战略副总裁 Phil Neray 。“如果不需要手动检查每一行代码,最好的方法是在云和本地基础设施中启用精细日志记录,同时实施高保真检测,以快速对可疑或未经授权的行为发出警报。”

根据这些准则,敦促依赖 PowerShell Gallery 模块进行云部署的 DevOps 和工程师谨慎行事,并考虑采用签名的 PowerShell 模块策略、使用受信任的私有存储库并实施强大的监控系统。 

Aqua Nautilus 还强调,保护用户的安全主要取决于平台运营商,这些调查结果强调了跨开源注册管理机构加强安全措施和统一标准的迫切需要。

需要帮助吗?联系我们的支持团队 在线客服