行業新聞與部落格

AWS CodeBuild 中的一個嚴重配置錯誤使得攻擊者能夠控制核心 AWS GitHub 儲存庫，包括支撐 AWS 控制檯的 JavaScript SDK 。

Wiz Research 將此次漏洞命名為 CodeBreach，它暴露了 AWS 管理的開源專案所使用的持續整合管道中的一個缺陷。透過利用該漏洞，未經身份驗證的攻擊者可以將惡意程式碼注入到受信任的程式碼庫中，從而為入侵 AWS 控制檯以及可能依賴於該控制檯的每個 AWS 賬戶鋪平道路。

該漏洞源於 CodeBuild 處理拉取請求觸發器的方式。安全過濾器中的一個微小錯誤（僅缺少兩個字元）允許不受信任的拉取請求執行特權構建。攻擊者由此可以訪問儲存在構建記憶體中的 GitHub 憑據，並將許可權提升至完全控制倉庫。

Wiz 公司表示，最敏感的目標是 AWS JavaScript SDK，這是一個廣泛使用的庫，為客戶應用程式和 AWS 控制檯本身提供支援。該公司估計，66%的雲環境都包含該 SDK，這加劇了供應鏈攻擊的潛在影響。

一個小小的正則表示式錯誤如何導致巨大的風險

這些暴露的倉庫依賴於一個 ACTOR_ID 過濾器來限制哪些 GitHub 使用者可以觸發構建。然而，Wiz 發現該過濾器是以非錨定正則表示式的形式實現的。這意味著，包含已批准 ID 作為子字串的 GitHub 使用者 ID 可以繞過此限制。

由於 GitHub 按順序分配數字使用者 ID，Wiz 的研究人員能夠預測新 ID 何時會“覆蓋”受信任的維護者 ID 。他們利用 GitHub 應用的自動化建立功能，捕獲了能夠繞過過濾器並觸發構建的 ID 。

Wiz 成功演示了對 AWS/AWS-sdk-JS-v3 儲存庫的接管，透過竊取的憑證獲得了管理員級別的訪問許可權。

至少還有三個其他 AWS 儲存庫存在同樣的漏洞，其中一個與 AWS 員工的個人賬戶關聯。

AWS 響應和緩解措施

Wiz 於 8 月 25 日披露了調查結果，AWS 在 48 小時內解決了該問題。該公司對受影響的正則表示式過濾器進行了加固，撤銷了已洩露的憑證，並增加了保護措施以防止基於記憶體的憑證竊取。

AWS 還引入了一個新的 Pull Request Comment Approval 構建門，預設情況下會阻止不受信任的構建。

該公司在一份宣告中表示，“AWS 確定沒有對任何客戶環境的機密性或完整性造成影響”，並補充說沒有發現惡意利用的證據。

Wiz 建議 CodeBuild 使用者採取以下幾項防禦措施：

• 阻止不受信任的拉取請求觸發特權構建

• 使用許可權最小的細粒度 GitHub 令牌

• 錨點 webhook 過濾器正則表示式模式

該研究強調了 CI/CD 系統成為供應鏈攻擊目標的趨勢日益增長，此前發生了Nx S1ngularity 和 Amazon Q VS Code擴充程式被攻破等事件。