Expertos en ciberseguridad reportan el hallazgo de una peligrosa falla de seguridad en Homebrew, el administrador de paquetes de código abierto para sistemas operativos macOS y Linux. Acorde al reporte, la falla permitiría a los actores de amenazas ejecutar código Ruby malicioso en los dispositivos que ejecutan esta aplicación.
La falla fue encontrada por el investigador conocido como “Ryotak” durante una evaluación de seguridad acordada con los desarrolladores del proyecto, que se ejecuta empleando GitHub Actions.
El reporte señala que la falla fue detectada en el repositorio Homebrew/homebrew-cask, desde el cual es posible fusionar solicitudes de extracción maliciosa confundiendo la biblioteca empleada para en el script de revisión de solicitud de extracción automatizado, desarrollado por el proyecto Homebrew.
Al respecto, el mantenedor principal de Homebrew Markus Reiter, menciona: “Esta condición existe debido a una falla en la dependencia git_diff de la acción de GitHub review-cask-pr, empleado para analizar la diferencia de una solicitud de extracción para su inspección: “La explotación exitosa de esta vulnerabilidad permitiría falsificar el analizador para ignorar por completo los mecanismos de seguridad, resultando en la aprobación exitosa de extracciones maliciosas.”
El mantenedor menciona que el problema sigue debido a que un grifo de barril afectado recibe solicitudes de extracción para cambiar solo a la versión de un barril: “El concepto review-cask-pr de GitHub Action automáticamente revisaba y aprobaba la solicitud de extracción. La aprobación activará las acciones automáticas de GitHub Action, la cual fusionará la solicitud de extracción aprobada.”
Reiter agregó que las acciones vulnerables de GitHub review-cask-pr y automerge se han desactivado y eliminado de todos los repositorios. Por otra parte, se ha limitado la capacidad de los bots para comprometerse con repositorios homebrew/cask*, además de que ahora las solicitudes de extracción requieren una revisión manual y la aprobación expresa de un mantenedor del proyecto.
El investigador concluyó mencionando: “Creo firmemente que se requiere una estricta auditoría de seguridad contra el ecosistema centralizado. Quiero realizar auditorías de seguridad contra el registro PyPI / npm y otros, pero por el momento esto no está permitido”.
Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).
Trabajando como arquitecto de ciberseguridad, el se enfoca en protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad con diferentes empresas. También tiene experiencia en diferentes industrias como finanzas, salud medica y reconocimiento facial.