Aqua Nautilus發(fā)現(xiàn)了PowerShell Gallery中持續(xù)存在的關(guān)鍵漏洞，為惡意行為者利用和發(fā)起攻擊提供了肥沃的土壤。

周三發(fā)布的一份報(bào)告中描述了這些漏洞，涉及命名策略、包所有權(quán)驗(yàn)證和未列出模塊的暴露。PowerShell Gallery是PowerShell內(nèi)容的重要存儲庫，廣泛用于管理跨AWS和Azure等平臺的云資源。

第一個(gè)缺陷揭示了一個(gè)松散的模塊命名策略，允許模仿流行包的誤輸入攻擊。這為供應(yīng)鏈漏洞打開了大門，允許惡意模塊被注入毫無戒心的用戶系統(tǒng)。

第二個(gè)漏洞涉及對包元數(shù)據(jù)的操縱，通過模仿微軟等信譽(yù)良好的實(shí)體，使惡意包看起來是真實(shí)的。

第三個(gè)漏洞暴露了未列出的包及其敏感數(shù)據(jù)，危及無意中泄露機(jī)密信息的用戶。

Netenrich的主要威脅獵人John Bambenek評論道:“多年來，我們在Python和Node中看到了惡意庫和模塊?，F(xiàn)在，這將惡意代碼的使用帶入了與PowerShell共享的項(xiàng)目中。緩解需要對細(xì)節(jié)的狂熱關(guān)注，以確保開發(fā)人員精確地引用包并準(zhǔn)確地完成他們想要做的事情。”

據(jù)報(bào)道，盡管Aqua Nautilus向微軟安全響應(yīng)中心通報(bào)了這些漏洞，并創(chuàng)建了一個(gè)利用這些漏洞的概念驗(yàn)證(POC)，但這些問題仍然沒有得到解決，威脅到一些用戶的安全。Infosecurity已經(jīng)就這些漏洞聯(lián)系了微軟，但還沒有收到回應(yīng)。

CardinalOps網(wǎng)絡(luò)防御戰(zhàn)略副總裁菲爾·內(nèi)雷(Phil Neray)強(qiáng)調(diào)道：“當(dāng)使用開源代碼時(shí)，這是一個(gè)典型的供應(yīng)鏈挑戰(zhàn)。除了手動檢查每一行代碼之外，最好的方法是在云和內(nèi)部部署基礎(chǔ)設(shè)施中啟用粒度日志記錄，同時(shí)實(shí)施高保真檢測，以快速警報(bào)可疑或未經(jīng)授權(quán)的行為。”

根據(jù)這些指導(dǎo)方針，依賴于PowerShell Gallery模塊進(jìn)行云部署的DevOps和工程師被敦促謹(jǐn)慎行事，并考慮采用簽名的PowerShell模塊策略，使用可信的私有存儲庫并實(shí)施強(qiáng)大的監(jiān)控系統(tǒng)。

Aqua Nautilus還強(qiáng)調(diào)，確保用戶的安全主要取決于平臺運(yùn)營商，這些發(fā)現(xiàn)強(qiáng)調(diào)了加強(qiáng)安全措施和跨開源注冊中心統(tǒng)一標(biāo)準(zhǔn)的迫切需要。