idNSA.id - Kerentanan keamanan yang baru-baru ini teridentifikasi di repositori resmi Homebrew Cask dapat dimanfaatkan oleh penyerang untuk mengeksekusi kode arbitrer pada mesin pengguna yang menginstal Homebrew.
Masalah, yang dilaporkan ke pengelola pada 18 April oleh peneliti keamanan Jepang bernama RyotaK, berasal dari cara perubahan kode dalam repositori GitHub -nya ditangani, menghasilkan skenario di mana permintaan penarikan berbahaya - yaitu, perubahan yang diusulkan - dapat ditinjau dan disetujui secara otomatis. Cacat itu diperbaiki pada 19 April.
Homebrew adalah solusi pengelola paket perangkat lunak open source dan gratis yang memungkinkan penginstalan perangkat lunak pada sistem operasi macOS Apple serta Linux. Homebrew Cask memperluas fungsionalitas untuk menyertakan alur kerja baris perintah untuk aplikasi macOS berbasis GUI, font, plugin, dan perangkat lunak non-open source lainnya.
"Kerentanan yang ditemukan akan memungkinkan penyerang untuk menyuntikkan kode arbitrer ke dalam Cask dan menggabungkannya secara otomatis," kata Markus Reiter dari Homebrew . "Ini karena cacat dalam ketergantungan git_diff dari Tindakan GitHub review-cask-pr , yang digunakan untuk mengurai diff permintaan pull untuk diperiksa. Karena cacat ini, parser dapat dipalsukan hingga sepenuhnya mengabaikan offending lines, mengakibatkan berhasil menyetujui permintaan penarikan yang berbahaya. "
Dengan kata lain, kekurangan itu berarti kode berbahaya yang dimasukkan ke dalam repositori Cask digabungkan tanpa tinjauan dan persetujuan apa pun.
Peneliti juga mengajukan permintaan penarikan bukti konsep (PoC) yang mendemonstrasikan kerentanan, setelah itu dikembalikan. Berdasarkan temuan tersebut, Homebrew telah menghapus Tindakan GitHub "automerge" serta menonaktifkan dan menghapus Tindakan GitHub "review-cask-pr" dari semua repositori yang rentan.
Selain itu, kemampuan bot untuk berkomitmen pada repositori homebrew / cask * telah dihapus, dengan semua permintaan penarikan memerlukan tinjauan manual dan persetujuan oleh pengelola untuk selanjutnya. Tidak ada tindakan pengguna yang diperlukan.
"Jika kerentanan ini disalahgunakan oleh aktor jahat, itu dapat digunakan untuk membahayakan mesin yang menjalankan brew sebelum dikembalikan," kata peneliti . "Jadi saya sangat merasa bahwa audit keamanan terhadap ekosistem terpusat diperlukan."
