Falhas ativas na PowerShell Gallery poderiam ser usadas por atores de ameaças para realizar ataques à cadeia de suprimentos contra os usuários do registro.
"Essas falhas tornam os ataques de typosquatting inevitáveis neste registros, ao mesmo tempo em que tornam extremamente difícil para os usuários identificar o verdadeiro proprietário de um pacote", disseram os pesquisadores de segurança da Aqua, Mor Weinberger, Yakir Kadkoda e Ilay Goldman, em um relatório compartilhado com o The Hacker News.
Mantida pela Microsoft, a PowerShell Gallery é um repositório central para compartilhamento e aquisição de código PowerShell, incluindo módulos PowerShell, scripts e recursos de Configuração de Estado Desejado (DSC).
O registro possui 11.829 pacotes únicos e 244.615 pacotes no total.
Os problemas identificados pela empresa de segurança em nuvem têm a ver com a política negligente do serviço em relação aos nomes dos pacotes, faltando proteções contra ataques de typosquatting, como resultado, permitindo que invasores façam upload de módulos PowerShell maliciosos que parecem genuínos para usuários desavisados.
Typosquatting é um vetor de infecção comprovado pelo tempo, adotado por adversários para envenenar ecossistemas de software de código aberto, publicando pacotes com nomes que são foneticamente semelhantes a módulos populares e legítimos já distribuídos através dos repositórios.
Uma segunda falha diz respeito à capacidade de um mau ator de falsificar os metadados de um módulo - incluindo campos de Autor(es), Direitos Autorais e Descrição - para fazer parecer mais legítimo, enganando assim usuários desavisados a instalá-los.
"A única maneira dos usuários determinarem o verdadeiro autor/proprietário é abrir a aba 'Detalhes do Pacote'", disseram os pesquisadores.
"Entretanto, isso apenas levará os usuários ao perfil do falso autor, pois o invasor pode escolher livremente qualquer nome ao criar um usuário na PowerShell Gallery.
Portanto, determinar o autor real de um módulo PowerShell na PowerShell Gallery é uma tarefa desafiadora."
Também foi descoberta uma terceira falha que poderia ser explorada por invasores para enumerar todos os nomes de pacotes e versões, incluindo aqueles que não estão listados e são destinados a ser mantidos ocultos da visão pública.
Isso pode ser realizado utilizando a API da PowerShell "powershellgallery[.]com/api/v2/Packages?$skip=number", permitindo que um invasor obtenha acesso irrestrito ao banco de dados completo de pacotes PowerShell, incluindo versões associadas.
"Esse acesso irrestrito fornece aos atores maliciosos a capacidade de procurar informações potencialmente sensíveis em pacotes não listados.
Consequentemente, qualquer pacote não listado que contém dados confidenciais, se torna altamente suscetível a comprometimentos", explicaram os pesquisadores.
A Aqua afirmou que relatou as falhas à Microsoft em setembro de 2022, após o que o fabricante do Windows teria implementado correções reativas a partir de 7 de março de 2023.
Os problemas, no entanto, permanecem reproduzíveis.
"À medida que dependemos cada vez mais de projetos de código aberto e registros, os riscos de segurança associados a eles se tornam mais proeminentes", concluíram os pesquisadores.
"A responsabilidade de proteger os usuários recai principalmente na plataforma.
É essencial que a PowerShell Gallery, e plataformas similares, tomem as medidas necessárias para aprimorar suas medidas de segurança."
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...