Aktivni nedostatci u PowerShell galeriji mogu biti naoružani od strane hakera kako bi izveli supply chain napade na korisnike registra.
“Ovi nedostaci čine typosquatting napade neizbježnim u ovom registru, a istovremeno otežavaju korisnicima da identifikuju pravog vlasnika paketa”, rekli su istraživači sigurnosti Aqua Mor Weinberger, Yakir Kadkoda i Ilay Goldman u izvještaju podijeljenom za The Hacker News.
PowerShell galerija koju održava Microsoft je centralno spremište za dijeljenje i preuzimanje PowerShell koda, uključujući PowerShell module, skripte i resurse željene konfiguracije stanja (DSC). Registar se može pohvaliti sa 11.829 jedinstvenih paketa i ukupno 244.615 paketa.
Problemi koje je identifikovala firma za bezbednost u cloudu imaju veze sa labavom politikom servisa oko naziva paketa, nedostatkom zaštite od typosquatting napada, što kao rezultat omogućava hakerima da učitaju maliciozne PowerShell module koji izgledaju autentični korisnicima koji ništa ne sumnjaju.
Typosquatting je vremenski testiran vektor zaraze koji su protivnici usvojili kako bi zatrovali softverske ekosisteme otvorenog koda objavljivanjem paketa s nazivima koji su fonetski slični popularnim i legitimnim modulima koji se već distribuiraju kroz spremišta.
Druga mana se odnosi na sposobnost lošeg hakera da lažira metapodatke modula — uključujući polja Autor(e), Autorsko pravo i Opis — kako bi izgledao legitimnije, na taj način obmanjujući nesvjesne korisnike da ih instaliraju.
“Jedini način da korisnici odrede pravog autora/vlasnika je otvaranje kartice ‘Detalji o paketu'”, rekli su istraživači.
“Međutim, ovo će ih dovesti samo do profila lažnog autora, jer haker može slobodno izabrati bilo koje ime prilikom kreiranja korisnika u PowerShell galeriji. Stoga određivanje stvarnog autora PowerShell modula u PowerShell galeriji predstavlja izazovan zadatak.”
Otkrivena je i treća mana koju bi hakeri mogli zloupotrijebiti da nabrajaju sve nazive i verzije paketa, uključujući i one koji nisu navedeni i namijenjeni da budu skriveni od javnosti.
Ovo se može postići korištenjem PowerShell API-ja “https://www.powershellgallery.com/api/v2/Packages?$skip=number”, omogućavajući hakeru da dobije neograničen pristup kompletnoj bazi podataka PowerShell paketa, uključujući povezane verzije.
“Ovaj nekontrolisani pristup pruža hakerima mogućnost da traže potencijalno osjetljive informacije unutar paketa koji nisu na listi. Posljedično, svaki nenavedeni paket koji sadrži povjerljive podatke postaje vrlo podložan kompromisu”, objasnili su istraživači.
Aqua je rekla da su prijavili nedostatke Microsoftu u septembru 2022. godine, nakon čega je proizvođač Windowsa navodno uveo reaktivne popravke od 7. marta 2023. Problemi se, međutim, i dalje mogu ponoviti.
„Kako sve više zavisimo od projekata otvorenog koda i registara, bezbednosni rizici povezani sa njima postaju sve izraženiji“, zaključili su istraživači.
“Odgovornost za osiguranje korisnika prvenstveno leži na platformi. Od suštinskog je značaja da PowerShell Gallery i slične platforme preduzmu neophodne korake kako bi poboljšali svoje sigurnosne mjere.”
Izvor: The Hacker News
