공식 Homebrew Cask 저장소에서 최근 확인된 보안 취약점을 이용해 공격자는 Homebrew가 설치된 사용자 컴퓨터에서 임의 코드를 실행할 수 있다.
4월 18일 일본 보안 연구원 RyotaK가 보고한 이 문제는 깃헙 저장소의 코드 변경이 처리되는 방식에서 비롯되었으며, 그 결과 악의적인 풀 요청(예: proposed change)이 자동으로 검토되고 승인될 수 있는 시나리오가 존재했다. 이 결함은 4월 19일에 수정되었다.
Homebrew는 무료 오픈 소스 소프트웨어 패키지 관리자 솔루션으로 애플의 맥OS 운영체제와 리눅스에 소프트웨어를 설치할 수 있다. Homebrew CAsk는 GUI 기반 맥OS 애플레케이션, 글꼴, 플러그인 및 기타 비 오픈소스 소프트웨어에 대한 명령줄 워크 플로를 포함하도록 기능을 확장한다.
Homebrew의 Markus Reiter는 “발견된 취약점은 공격자가 임의의 코드를 캐스크에 주입하여 자동으로 병합할 수 있도록 한다. 이것은 검사를 위해 풀 요청의 diff를 파싱하는데 사용되는 review-cask-pr 깃헙 액션의 gif_diff 종속성에 있는 결함때문이다. 이 결함으로 인해 파서는 잘못된 행을 완전히 무시하도록 스푸핑 될 수 있고, 그 결과 악의적인 풀 요청이 성공적으로 승인된다”라고 말했다.
즉, 이 결함은 Cask 저장소에 삽입된 악성 코드가 검토 및 승인없이 병합되었음을 의미한다.
연구원은 또한 취약점을 증명하기 위해 풀요청 개념 증명 코드를 제출했다. 조사 결과에 비추어 Homebrew는 “자동병합(automerge)” 깃헙 액션을 제거하고 모든 취약한 저장소에서 “review-cask-pr” 깃헙 액션을 비활성화 및 제거했다.
연구원은 “이 취약점이 악의적인 행위자에 의해 남용되면, 되돌리기 전에 brew를 실행하는 머신을 손상시키는데 사용될 수 있다. 그래서 중앙 집중식 에코시스템인 깃헙에 대한 보안 감사하기 필요하다.”라고 말했다.
■ 상반기 최대 개인정보보호&정보보안 컨퍼런스 G-PRIVACY 2021 온라인 개최
-주최: 데일리시큐
-후원: 개인정보보호위원회·한국인터넷진흥원·한국정보보호산업협회
-2021년 4월 28일~29일 온라인
-2일 참가시 14시간 보안교육 이수
-공공·금융·기업 보안실무자 1,500명 이상 참석
-최신 국내·외 보안솔루션 사이버 전시관 개최
-사전등록: 클릭
★정보보안 대표 미디어 데일리시큐!★