PowerShell Galleryに複数の脆弱性 メタデータの偽造や非公開コードへのアクセスも可能か
PowerShell Galleryにタイポスクワッティング攻撃を受けやすい脆弱性が見つかった。メタデータの偽造や非公開コードへのアクセスも可能になるという。Microsoftへの問題報告後も修正はうまく進んでいない。
Aqua Security Software(以下、Aqua Security)は2023年8月16日(現地時間、以下同)、パッケージリポジトリ「PowerShell Gallery」に複数の脆弱(ぜいじゃく)性が存在していると報じた。
これらの脆弱性を悪用すると、ユーザーのタイプミスを狙ってフィッシングサイトに誘導したり、情報窃取したりするサイバー攻撃手法「タイポスクワッティング」が可能となる。
PowerShell Galleryの3つの問題点をAqua Securityが指摘
PowerShell Galleryは「PowerShell」のモジュールやスクリプトなどをホスティングするサービスであり、コミュニティーやベンダーから提供されたコードが保持されている。PowerShellユーザーはPowerShell Galleryを経由してモジュールの検索やインストール、アップデートなどを実行できる。最近では、「Microsoft Azure」や「Amazon Web Services」(AWS)のユーザーがPowerShell Galleryで提供されているモジュールやスクリプトを活用するケースも多い。
Aqua Securityははじめに、PowerShell Galleryの命名ポリシーが緩いという問題を指摘している。PowerShell Galleryには「npm」など他のパッケージマネジャーに用意されているタイポスクワッティング対策が講じられていないため、攻撃を実行しやすいという。
また同社は、PowerShell Galleryが作成者や著作権、説明などのメタデータのほとんどを偽造できる点も問題視している。Aqua Securityは今回の報告で、試しに作成者を「Microsoft Corporation」に偽装した。見た目だけでは対象のパッケージが正当なものかどうか見分けるのは困難だという。
さらにAqua Securityは「公開されていないモジュールやスクリプトについてもアクセスする方法を見つけた」と指摘しており、作成者が非公開にしているつもりでも実際には外部からアクセス可能な状態になっていることが判明している。これは非公開にしているモジュールやスクリプトにAPIキーなどの鍵が含まれていた場合、簡単に窃取されるリスクがあることを意味している。
Aqua Securityは2022年9月27日にはすでにMicrosoftに問題を報告しており、Microsoftは2022年10月20日には問題の存在を認めている。その後、Microsoftは問題の修正を報告しているが、その都度Aqua Securityが問題が修正されていないことを指摘しており、2023年8月16日の段階でも依然として問題は再現可能な状態が続いている。Aqua Securityは全てユーザーに対してPowerShell Galleryからコードを取得する際には注意が必要だと呼びかけている。
パッケージリポジトリを標的としたソフトウェアサプライチェーン攻撃は新しい攻撃ベクトルとしてサイバー攻撃者に悪用されるケースが増えている。PowerShell Galleryをはじめとしたパッケージリポジトリを利用する際には注意を払う必要があるだろう。
関連記事
- 積水化学の“本気すぎる”セキュリティ対策 リテラシー教育から情報管理体制構築まで
積水化学工業は役員や一般従業員といった非IT従事者に向けて徹底したサイバー演習やリテラシー教育を実施し、強固なリスクマネジメント体制を整えている。同社の事例を紹介しよう。 - 1900台超のCitrix NetScalerにバックドアが仕込まれている、日本でも確認
「Citrix NetScaler」の脆弱性を悪用するエクスプロイトキャンペーンが報告された。1900台以上にバックドアが仕込まれ、日本でも影響が確認されている。セキュリティパッチ適用後もリスクが残るため迅速な対応が求められる。 - Cloudflareが130億通の電子メールを分析 悪用される手口と企業組織ブランドは?
Cloudflareは約130億通の電子メールを分析して約2億5000万通の悪質メールをブロックすると同時に、その分析結果を公開した。偽装リンクやなりすまし詐欺が主な攻撃手法で、信用される企業になりすます例も多いという。 - 量子攻撃に備えよ Googleが量子耐性を持つFIDO2セキュリティキーを公開
Googleはセキュリティキーファームウェア「OpenSK」の一部として、量子耐性FIDO2セキュリティキーの新しい実装を公開した。このハイブリッド署名スキーマは従来のサイバー攻撃と量子コンピュータによるサイバー攻撃への耐性を兼ね備えている。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.