PowerShell Gallery存在的重大安全隐患

关键要点

PowerShell Gallery的政策存在显著缺陷，使得字符欺诈攻击不可避免。用户难以识别软件包的真实所有者。Aqua Security的研究揭示了对用户的潜在供应链攻击。恶意模块的安装可能对组织造成严重后果。对这些缺陷的报告未能促使微软做出相应的改进。软件供应链所带来的威胁正在逐渐加剧，尤其是针对远程工作的组织。

最近，Aqua Security的Nautilus研究团队披露，PowerShell Gallery的多项政策存在严重缺陷，这不仅使得字符欺诈攻击几乎不可避免，还使用户很难确认软件包的真实性。

在一篇8月16日的博客文章中，Aqua Nautilus的研究人员指出，这些缺陷为可能的供应链攻击打开了大门，威胁到广大PowerShell Gallery用户的安全。

能上twitter的加速器

科研人员警告说，PowerShell Gallery模块通常在云部署过程中被广泛使用，尤其是在与Amazon Web Service和Azure等云平台进行互动和管理资源时。这其中的问题在于，安装一个恶意模块可能会对组织产生灾难性的影响。

研究团队通过这些发现，创建了一个概念验证POC，模拟了那些下载量达到数百万次的热门Microsoft PowerShell模块。这些模块已被各种组织在不同云服务中下载使用。

尽管Aqua Nautilus团队曾向微软安全响应中心报告过这些问题两次，但这些缺陷依然能够重现，表明微软并未实施任何实质性改进。

Aqua Nautilus的研究还指出，软件供应链所带来的威胁正在不断增加。Panther Labs的现场首席信息安全官Ken Westin表示，攻击者，特别是国家层面的行为者，正将攻击的重点转向上游的软件包和供应商，以便注入或暴露安全漏洞。

Westin表示：“随着组织不断转向远程工作并增加云工作负载和应用程序，攻击者也在调整他们的策略通过攻击上游软件，他们能够获得更多的投资回报。”他还提到：“公司和政府机构需要增强对软件供应链威胁所带来的风险的关注，并在云和DevOps流程中实施监控策略，而这往往是被忽视的安全领域。”

Netenrich的首席威胁猎手John Bambenek补充说，研究人员多年来在Python和Nodejs中已经观察到了恶意库和模块的出现。Bambenek表示，Aqua Nautilus的最新研究现已将恶意代码的使用引入了PowerShell的共享项目中。

“为了减少风险，开发人员需要对细节给予高度关注，确保准确引用软件包，并确保他们所做的一切都是他们打算的效果，”Bambenek说。“目前我们尚未拥有良好的工具来统计组织中使用的所有第三方软件包，因此DevOps团队可能需要在一定程度上进行手动代码审查至少对于外部软件包以确保其相对安全。”

相关链接

Aqua Security BlogPowerShell Gallery 介绍

通过这些分析和建议，组织应更好地理解和应对PowerShell Gallery的潜在风险，从而加强整体安全性。