맥OS 및 리눅스용 Homebrew Package Manager에서 치명적인 RCE 취약점 발견

 

 

Critical RCE Bug Found in Homebrew Package Manager for macOS and Linux

 

최근 공식 Homebrew Cask 저장소에서 공격자가 Homebrew가 설치된 사용자의 기기에서 임의 코드를 실행하도록 허용하는 보안 취약점이 발견되었습니다.

 

일본의 보안 연구원인 RyotaK가 지난 4월 18일 관리자에게 제보한 이 취약점은 GitHub 저장소의 코드 변경이 처리되는 방식에 존재하며, 그 결과 악성 pull 요청이 자동으로 검토 및 승인될 수 있는 상황이 발생할 수 있는 것으로 나타났습니다. 이 취약점은 지난 4월 19일 수정되었습니다.

 

Homebrew는 애플의 맥OS 시스템 및 리눅스에서 소프트웨어를 설치할 수 있는 오픈소스 무료 소프트웨어 패키지 관리 솔루션입니다.

 

Homebrew Cask는 GUI 기반 맥 OS 애플리케이션, 폰트, 플러그인 및 기타 비 오픈소스 소프트웨어에 대한 커맨드라인 워크플로우를 포함하도록 기능을 확장합니다.

 

Homebrew의 Markus Reiter는 아래와 같이 밝혔습니다.

 

“발견된 취약점은 공격자가 Cask에 임의 코드를 주입하고 자동으로 병합하도록 할 수 있습니다. 이는 검사를 위해 pull 요청의 diff를 파싱하는데 사용되는 Review-cask-pr GitHub Action의 git_diff 종속성에 존재하는 취약점 때문에 발생합니다. 이 취약점 때문에 파서는 문제의 라인을 완전히 무시하도록 스푸핑될 수 있어 결과적으로 악성 pull 요청이 성공적으로 승인됩니다.”

 

즉, 이 취약점을 통해 Cask 저장소에 주입된 악성코드가 어떠한 검토나 승인 없이도 병합될 수 있다는 것입니다.

 

해당 연구원은 이 취약점을 시연하는 PoC pull 요청을 등록한 후 이를 revert 했습니다. Homebrew는 연구 결과에 따라 모든 취약한 저장소에서 “automerge” GitHub Action 및 "review-cask-pr" GitHub Action을 제거했습니다.

 

또한 봇이 homebrew/cask* 저장소에 커밋할 수 있는 기능이 제거되었으며, 앞으로는 관리자가 모든 pull 요청을 수동으로 검토 및 승인해야 하도록 변경되었습니다. 사용자가 별도로 취해야 할 조치는 없습니다.

 

연구원은 아래와 같이 밝혔습니다.

 

“공격자가 이 취약점을 악용할 경우 revert 전 Brew를 실행하는 기기를 해킹하는데 사용될 수 있습니다. 따라서 중앙화된 시스템에 대한 보안 감사가 꼭 필요하다고 생각됩니다.”

 

 

 

 

 

출처:

https://thehackernews.com/2021/04/critical-rce-bug-found-in-homebrew.html

https://blog.ryotak.me/post/homebrew-security-incident-en/