PowerShell Gallery ของ Microsoft นำเสนอความเสี่ยงในห่วงโซ่อุปทานของซอฟต์แวร์ เนื่องจากมีการป้องกันที่ค่อนข้างอ่อนแอต่อผู้โจมตีที่ต้องการอัปโหลดแพ็คเกจที่เป็นอันตรายไปยังพื้นที่เก็บข้อมูลออนไลน์ ตามที่นักวิจัยจาก Aqua Nautilus กล่าว

เมื่อเร็วๆ นี้ พวกเขาได้ทดสอบนโยบายของพื้นที่เก็บข้อมูลเกี่ยวกับชื่อแพ็คเกจและเจ้าของ และพบว่าผู้คุกคามสามารถนำไปใช้ในทางที่ผิดเพื่อปลอมแปลงแพ็คเกจที่ถูกต้องได้อย่างง่ายดาย และทำให้ผู้ใช้ระบุเจ้าของที่แท้จริงของแพ็คเกจได้ยาก

ใช้ด้วยความระมัดระวัง

“หากองค์กรของคุณใช้โมดูล PowerShell จากแกลเลอรี เราขอแนะนำให้ใช้เฉพาะโมดูล PowerShell ที่ลงนามแล้ว ใช้พื้นที่เก็บข้อมูลส่วนตัวที่เชื่อถือได้ และใช้ความระมัดระวังเมื่อดาวน์โหลดโมดูล/สคริปต์ใหม่จากรีจิสทรี” Yakir Kadkoda หัวหน้านักวิจัยด้านความปลอดภัยของ Aqua กล่าว “ประการที่สอง เราแนะนำให้แพลตฟอร์มที่คล้ายกันแก่ PowerShell Gallery เพื่อดำเนินการตามขั้นตอนที่จำเป็นเพื่อปรับปรุงมาตรการรักษาความปลอดภัย ตัวอย่างเช่น พวกเขาควรใช้กลไกที่ป้องกันไม่ให้นักพัฒนาอัพโหลดโมดูลที่มีชื่อคล้ายกับที่มีอยู่มากเกินไป”

Kadkoda กล่าวว่า Microsoft รับทราบปัญหาเมื่อได้รับแจ้งเกี่ยวกับพวกเขา และอ้างว่าได้แก้ไขปัญหาสองประเด็นที่แยกจากกัน “อย่างไรก็ตาม เราได้ตรวจสอบอย่างต่อเนื่อง และปัญหาเหล่านี้ยังคงมีอยู่” ณ วันที่ 16 สิงหาคม เขากล่าว

Microsoft ไม่ตอบกลับคำขอ Dark Reading ทันทีเพื่อขอความคิดเห็น

แกลเลอรี PowerShell เป็นพื้นที่เก็บข้อมูลที่ใช้กันอย่างแพร่หลายสำหรับการค้นหา เผยแพร่ และแชร์โมดูลโค้ด PowerShell และทรัพยากรที่เรียกว่าการกำหนดค่าสถานะ (DSC) ที่ต้องการ แพ็คเกจจำนวนมากในรีจิสทรีมาจากเอนทิตีที่เชื่อถือได้ เช่น Microsoft, AWS และ VMware ในขณะที่แพ็คเกจอื่นๆ อีกมากมายมาจากสมาชิกชุมชน จนถึงขณะนี้มีการดาวน์โหลดแพ็คเกจมากกว่า 1.6 พันล้านครั้งจากพื้นที่เก็บข้อมูลในปีนี้เพียงปีเดียว

เปิดให้ Typosquatting

ปัญหาหนึ่งที่ Aqua ค้นพบคือการขาดการป้องกันการพิมพ์ผิดใดๆ ซึ่งเป็นเทคนิคการหลอกลวงที่ผู้คุกคามได้ใช้มากขึ้นในช่วงไม่กี่ปีที่ผ่านมาเพื่อหลอกให้ผู้ใช้ดาวน์โหลดแพ็คเกจที่เป็นอันตรายจากคลังซอฟต์แวร์สาธารณะ โดยทั่วไปแล้ว Typosquatters จะใช้ชื่อที่มีลักษณะทางสัทศาสตร์คล้ายกับชื่อของแพ็คเกจยอดนิยมและถูกกฎหมายบนที่เก็บข้อมูลสาธารณะ เช่น npm, PyPI และ Maven จากนั้นพวกเขาอาศัยผู้ใช้พิมพ์ผิดเมื่อค้นหาแพ็คเกจเหล่านี้และดาวน์โหลดแพ็คเกจที่เป็นอันตรายแทน เทคนิคนี้ได้กลายเป็นเวกเตอร์การโจมตีห่วงโซ่อุปทานซอฟต์แวร์ทั่วไป

Aqua พบว่านโยบายของ PowerShell Gallery ช่วยป้องกันการหลอกลวงดังกล่าวได้เพียงเล็กน้อย ตัวอย่างเช่น ชื่อของแพ็คเกจ Azure ส่วนใหญ่บนพื้นที่เก็บข้อมูลมีรูปแบบเฉพาะ นั่นคือ “Az. ” อย่างไรก็ตาม แพ็คเกจ Azure ยอดนิยมอื่น ๆ เช่น "Aztable" ไม่เป็นไปตามรูปแบบและไม่มีจุดในชื่อ  

Aqua พบว่าไม่มีข้อจำกัดเกี่ยวกับคำนำหน้าที่นักพัฒนาแพ็คเกจสามารถใช้ในการตั้งชื่อแพ็คเกจได้ ตัวอย่างเช่น เมื่อนักวิจัยของ Aqua สร้างแบบจำลอง Aztable ที่เกือบจะสมบูรณ์แบบและตั้งชื่อว่า Az.Table พวกเขาก็ไม่มีปัญหาในการอัปโหลดโค้ด Proof-of-Concept (PoC) ไปยัง PowerShell Gallery รหัสโทรกลับที่ Aqua รวมไว้ใน PoC แสดงให้เห็นว่าโฮสต์หลายแห่งในบริการคลาวด์ต่างๆ ได้ดาวน์โหลดแพ็คเกจภายในสองสามชั่วโมงแรกเพียงอย่างเดียว

“ในความเห็นของเรา หน่วยงานทะเบียนอื่นๆ มีมาตรการป้องกันมากกว่า” กัดโกดะกล่าว “ตัวอย่างเช่น npm ซึ่งเป็นแพลตฟอร์มการลงทะเบียนอื่นของ Microsoft ใช้กฎ 'Moniker' ที่ออกแบบมาโดยเฉพาะเพื่อต่อสู้กับการพิมพ์ผิด” เขากล่าว ตัวอย่างหนึ่ง: เนื่องจากมีแพ็คเกจชื่อ "react-native" อยู่แล้วในเวลา npm จึงไม่มีใครติดป้ายกำกับโมดูลด้วยรูปแบบต่างๆ เช่น "reactnative" "react_native" หรือ "react.native"

ง่ายต่อการปลอมแปลงข้อมูลประจำตัวของเจ้าของ

ปัญหาอีกประการหนึ่งที่ Aqua ค้นพบด้วยนโยบายของ PowerShell Gallery ก็คือวิธีที่พวกเขาอนุญาตให้ผู้คุกคามสร้างแพ็คเกจที่เป็นอันตรายให้ปรากฏว่าถูกต้องตามกฎหมายโดยการปลอมแปลงรายละเอียดที่สำคัญ เช่น ช่องผู้เขียน คำอธิบาย และลิขสิทธิ์ “ผู้โจมตีสามารถเลือกชื่อได้อย่างอิสระเมื่อสร้างผู้ใช้ใน PowerShell Gallery” Aqua กล่าวในบล็อกโพสต์ “ดังนั้น การกำหนดผู้เขียนที่แท้จริงของโมดูล PowerShell ใน PowerShell Gallery จึงเป็นงานที่ท้าทาย”

ผู้ใช้ที่ไม่สงสัยที่พบแพ็คเกจเหล่านี้ใน PowerShell Gallery อาจถูกหลอกให้เชื่อว่าผู้สร้างแพ็คเกจที่เป็นอันตรายนั้นเป็นนิติบุคคลที่ถูกต้องตามกฎหมาย เช่น Microsoft Aqua กล่าว

นอกจากนี้ การวิเคราะห์ของ Aqua ยังแสดงให้เห็นว่า API หนึ่งตัวใน PowerShell Gallery โดยทั่วไปทำให้ผู้คุกคามมีช่องทางในการค้นหาโมดูลที่ไม่อยู่ในรายการในรีจิสทรี และอาจมีข้อมูลที่ละเอียดอ่อนที่เกี่ยวข้องกับโมดูลเหล่านั้นด้วย โดยทั่วไปแล้ว โมดูลที่ไม่อยู่ในรายการจะเป็นแบบส่วนตัวและไม่ควรเป็นสิ่งที่ผู้โจมตีสามารถค้นพบได้จากการค้นหาพื้นที่เก็บข้อมูล นักวิจัยของ Aqua พบว่าพวกเขาไม่เพียงแต่ดึงโมดูลดังกล่าวขึ้นมาเท่านั้น แต่ยังพบโมดูลที่มีความลับละเอียดอ่อนของบริษัทเทคโนโลยีขนาดใหญ่อีกด้วย

Kadkoda กล่าวว่าไม่มีหลักฐานที่บ่งชี้ว่าผู้คุกคามได้ใช้ประโยชน์จากจุดอ่อนเหล่านี้เพื่อแอบแฝงแพ็คเกจที่เป็นอันตรายเข้าไปใน PowerShell Gallery อย่างไรก็ตามภัยคุกคามนั้นมีอยู่จริง “สิ่งสำคัญที่ควรทราบคือ Microsoft ระบุว่าพวกเขาจะสแกนโมดูล/สคริปต์ PowerShell ที่อัปโหลดไปยังแกลเลอรี” Kadkoda กล่าว “นี่เป็นมาตรการที่ดีในการบล็อกการอัพโหลดที่เป็นอันตราย อย่างไรก็ตาม มันยังคงเป็นเกมแมวจับหนูระหว่างโซลูชันของ Microsoft และผู้โจมตี”

• เนื้อหาที่ขับเคลื่อนด้วย SEO และการเผยแพร่ประชาสัมพันธ์ รับการขยายวันนี้
• PlatoData.Network Vertical Generative Ai เพิ่มพลังให้กับตัวเอง เข้าถึงได้ที่นี่.
• เพลโตไอสตรีม. Web3 อัจฉริยะ ขยายความรู้ เข้าถึงได้ที่นี่.
• เพลโตESG. ยานยนต์ / EVs, คาร์บอน, คลีนเทค, พลังงาน, สิ่งแวดล้อม แสงอาทิตย์, การจัดการของเสีย. เข้าถึงได้ที่นี่.
• เพลโตสุขภาพ เทคโนโลยีชีวภาพและข่าวกรองการทดลองทางคลินิก เข้าถึงได้ที่นี่.
• ChartPrime. ยกระดับเกมการซื้อขายของคุณด้วย ChartPrime เข้าถึงได้ที่นี่.
• BlockOffsets การปรับปรุงการเป็นเจ้าของออฟเซ็ตด้านสิ่งแวดล้อมให้ทันสมัย เข้าถึงได้ที่นี่.
• ที่มา: https://www.darkreading.com/application-security/powershell-gallery-prone-to-typosquatting-other-supply-chain-attacks