Aqua Nautilus는 2022년 9월, 마이크로소프트의 PowerShell Gallery 코드 저장소에서 이름 관련 정책의 취약성을 발견했습니다. 이는 악의적인 목적을 가진 사이버 범죄자가 인기있는 패키지들을 흉내 내거나, 타이포 스퀴팅 공격을 통해 실제 패키지와 매우 유사한 이름의 패키지를 제출할 수 있다는 것을 의미합니다. 이 문제를 이용하면 원래 작성자와 저작권 정보를 포함한 패키지 세부 정보를 위장할 수 있어, 검증된 발행자의 작업처럼 보이는 임의의 패키지를 만드는 것이 가능해집니다.

PS Gallery는 Publisher 정보인 'Owner' 필드를 기본적으로 숨기고 있습니다. 이 필드는 패키지를 업로드한 계정 정보를 보여주는데, 이러한 구조 때문에 'Package Details' 하에서 신뢰할 수 있는 정보를 찾기 어렵습니다. AquaSec의 Nautilus 팀은 PS Gallery 코드 저장소를 이용하는 사용자들로 하여금 사인된 스크립트만 실행할 수 있도록 하고, 신뢰할 수 있는 비공개 저장소를 이용하며, 모듈 소스 코드 내 민감 정보를 주기적으로 스캔하며, 의심스러운 활동을 발견하기 위해 실시간 모니터링 시스템을 이용하는 것이 필요하다고 조언하고 있습니다.

AquaSec는 이러한 취약점들을 지난 2022년 9월 27일에 마이크로소프트에 보고했고, 11월에 해당 문제가 해결되었다는 마이크로소프트의 발표 이후에도 이 타이포 스퀴팅과 패키지 세부정보 관련 취약점을 다시 확인했습니다. 마이크로소프트는 2023년 1월 15일에 대응책을 개발 중이라는 밝힘과 함께 임시 대책을 실행했지만, AquaSec는 2023년 8월 16일 기준으로도 이 취약점들이 여전히 존재함을 확인했습니다.

요약

- Aqua Nautilus는 마이크로소프트의 PowerShell Gallery에서 패키지 이름 관련 정책의 취약점을 발견했다. 이로 인해 악의적인 사이버 범죄자들이 인기있는 패키지를 흉내내거나, 실제 패키지와 매우 유사한 이름의 패키지를 만들 수 있다.
- PS Gallery는 패키지 업로드한 계정 정보인 'Owner' 필드를 기본적으로 숨겨 사용자들이 신뢰할 수 있는 정보를 찾기 어렵게 만든다.
- AquaSec는 이 취약점들을 마이크로소프트에 보고했지만, 2023년 1월 15일의 임시 대책 이후에도 이 취약점들이 여전히 존재함을 확인했다.

Reference

https://www.bleepingcomputer.com/news/security/microsoft-powershell-gallery-vulnerable-to-spoofing-supply-chain-attacks/

※ 이 글은 생성형 AI(ChatGPT-4)에 의해 요약되었습니다.*