Търсене
Close this search box.

Слабости в галерията PowerShell позволяват атаки по веригата за доставки

Активните недостатъци в галерията PowerShell могат да бъдат използвани от  заплахи за извършване на атаки по веригата за доставки срещу потребителите на регистъра.

„Тези недостатъци правят неизбежни типовите атаки в този регистър, като същевременно правят изключително трудно за потребителите да идентифицират истинския собственик на даден пакет“, казват изследователите по сигурността от Aqua Мор Вайнбергер, Якир Кадкода и Илай Голдман в доклад, споделен с The Hacker News.

Поддържана от Microsoft, PowerShell Gallery е централно хранилище за споделяне и придобиване на PowerShell код, включително PowerShell модули, скриптове и ресурси на Desired State Configuration (DSC). Регистърът може да се похвали с 11 829 уникални пакета и общо 244 615 пакета.

Проблемите, идентифицирани от фирмата за облачна сигурност, са свързани с небрежната политика на услугата по отношение на имената на пакетите, в която липсват защити срещу typosquatting атаки, в резултат на което се дава възможност на нападателите да качват злонамерени модули PowerShell, които изглеждат истински за нищо неподозиращите потребители.

Вторият недостатък се отнася до възможността на недоброжелател да подмени метаданните на модул – включително полетата за автор(и), авторско право и описание – за да ги направи да изглеждат по-легитимни, като по този начин заблуди неволните потребители да ги инсталират.

„Единственият начин потребителите да установят истинския автор/собственик е да отворят раздела „Подробности за пакета“,“ казват изследователите.

 

„Това обаче ще ги отведе само до профила на фалшивия автор, тъй като при създаването на потребител в галерията PowerShell нападателят може свободно да избере всяко име. Следователно определянето на действителния автор на модул PowerShell в Галерията PowerShell представлява трудна задача.“

Открит е и трети недостатък, който може да бъде използван от нападателите за изброяване на всички имена и версии на пакети, включително и тези, които не са включени в списъка и са предназначени да бъдат скрити от обществения поглед.

Това може да бъде постигнато чрез използване на PowerShell API „https://www.powershellgallery.com/api/v2/Packages?$skip=number“, което позволява на нападателя да получи неограничен достъп до пълната база данни с пакети на PowerShell, включително свързаните с тях версии.

„Този неконтролиран достъп предоставя на злонамерените хакери  възможността да търсят потенциална чувствителна информация в нерегистрирани пакети. Следователно всеки нерегистриран пакет, който съдържа поверителни данни, става силно уязвим за компрометиране“, обясняват изследователите.

Aqua заяви, че е докладвала за недостатъците на Microsoft през септември 2022 г., след което се твърди, че производителят на Windows е въвел реактивни поправки към 7 март 2023 г. Проблемите обаче продължават да бъдат възпроизводими.

„Тъй като все повече зависим от проекти и регистри с отворен код, свързаните с тях рискове за сигурността стават все по-видими“, заключават изследователите.

„Отговорността за осигуряване на сигурността на потребителите се носи преди всичко от платформата. От съществено значение е PowerShell Gallery, както и други подобни платформи, да предприемат необходимите стъпки за подобряване на мерките за сигурност.“

Източник: The Hacker News

Подобни публикации

16 април 2024

CISA издаде извънредна директива

На 11 април Агенцията за киберсигурност и инфраструктурна сигурност...
15 април 2024

CP3O е арестуван

Министерството на правосъдието на САЩ обяви ареста и повдигането на...
15 април 2024

Daixin Team ransomware е атакувала успешно Omni...

Бандата Daixin Team ransomware е извършила неотдавнашна кибератака ...
15 април 2024

За проблемите с работната сила в сферата киберс...

  За проблемите с работната сила в сферата киберсигурността в ...
15 април 2024

КНДР се възползва от 2 подтехники: Призрачно от...

Този месец MITRE ще добави две подтехники към своята база данни ATT...
15 април 2024

Хакер твърди, че е пробил Giant Tiger и пусна 2...

Канадската верига за търговия на дребно Giant Tiger разкрива наруше...
14 април 2024

MuddyWater приемат нов C2 инструмент "DarkBeatC...

Иранският участник в заплахите, известен като MuddyWater, е причисл...
14 април 2024

Критичен недостатък на Palo Alto Networks PAN-O...

Palo Alto Networks предупреждава, че критичен недостатък, засягащ с...
13 април 2024

Подъл скимер на кредитни карти, маскиран като б...

Изследователи в областта на киберсигурността са открили скимиращо у...
Бъдете социални
Още по темата
15/04/2024

За проблемите с работната с...

  За проблемите с работната сила...
13/04/2024

Latrodectus продължава там,...

Брокерите за първоначален достъп използват новия...
10/04/2024

Защо е толкова важно да укр...

Доставчиците на управлявани услуги (MSP) са...
Последно добавени
16/04/2024

CISA издаде извънредна дире...

На 11 април Агенцията за киберсигурност...
15/04/2024

CP3O е арестуван

Министерството на правосъдието на САЩ обяви...
15/04/2024

Daixin Team ransomware е ат...

Бандата Daixin Team ransomware е извършила...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!