AWS最近发布了一份安全公告,指出存在一个问题,该问题影响了一些由AWS管理的开源GitHub仓库。这个严重的安全漏洞被命名为“CodeBreach”。该漏洞可能导致恶意代码进入这些仓库,从而利用AWS CodeBuild来操控这些仓库。
Wiz Security的研究团队发现,部分仓库的AWS CodeBuild CI管道中存在配置错误。这些过滤器原本用于限制可信任的用户身份,但实际上这些过滤器并不充分,因此任何包含可信用户身份的子字符串的用户都可以绕过这一限制。由于GitHub上的用户名都是按顺序排列的,研究人员通过自动化方式获取了用户的凭据,从而获得了对受攻击仓库的完全控制权限。因为AWS SDK for JavaScript与AWS控制台一起提供,所以成功的攻击可以破坏无数AWS账户的访问权限。
在确认了这一漏洞并感谢Wiz Security研究团队的发现后,AWS表示其他由AWS管理的开源仓库中不存在类似的配置错误。受影响的仓库中的漏洞在最初被发现后的48小时内就被解决了。Yuval Avrahami和Nir Ohfeld指出,这种漏洞与最近发生的供应链攻击类似,比如Nx S1ngularity事件。去年7月,某个攻击者利用了类似的CodeBuild漏洞,对Amazon Q VS Code扩展的用户发动了攻击。
随着此类攻击越来越常见,Wiz建议各组织加强其CI/CD管道的安全性,确保使用ACTOR_ID过滤器的访问控制能够正确地限制只有授权用户才能执行操作。Reddit上的用户hashkent评论道:“看来保护源代码变得越来越困难了。”
Corey Quinn是The Duckbill Group的首席云经济学家,他评论说:“这是过去一年里第二次出现严重的CodeBuild漏洞。如果AWS自己都无法正确配置安全措施,那么你们也应该检查一下自己的系统是否也存在同样的问题。”CodeBreach漏洞最初是由Wiz向AWS报告的,而AWS则在8月25日修复了该漏洞。此外,9月份还采取了进一步的措施来防止非特权用户通过内存dump来获取项目凭据。不过,这一漏洞直到1月15日才被公开报道。
