AWS最近发布了一份安全公告,指出存在一个问题,该问题影响了一些由AWS管理的开源GitHub仓库。这个漏洞被称为“CodeBreach”。这个严重的安全漏洞可能导致恶意代码被引入到这些仓库中,从而利用AWS CodeBuild来操控这些仓库。
Wiz Security的研究团队发现,某些仓库的AWS CodeBuild CI管道中存在配置错误。这些过滤器用于限制可信任的用户身份,但实际上这些过滤器的设置并不充分,因此任何包含可信用户身份的子字符串的用户都可以绕过这些限制。由于GitHub上的用户ID是连续的,研究人员通过自动化方式获取了用户的凭据,从而获得了对受影响仓库的全权管理权限。因为AWS SDK for JavaScript与AWS控制台一起提供,所以成功的攻击可以破坏无数AWS账户的控制链路。
虽然AWS已经确认了这一漏洞,并感谢Wiz Security研究团队的发现,但AWS表示,其他由AWS管理的开源仓库中并不存在类似的配置错误。在最初发现这个问题后,相关漏洞在48小时内就被解决了。Yuval Avrahami和Nir Ohfeld指出,这种类型的漏洞与之前的供应链攻击类似,都是因为CI/CD管道的细微配置错误导致的。就在去年7月,一个攻击者利用了类似的漏洞,对Amazon Q VS Code扩展程序的用户发动了攻击。
随着此类攻击越来越常见,Wiz建议各组织加强其CI/CD管道的安全性,确保使用ACTOR_ID过滤器的访问权限仅限于指定的身份。Reddit上的用户hashkent评论道:“看来保护源代码变得越来越困难了。”
Corey Quinn指出,这是过去一年里第二次出现类似的CodeBuild漏洞。他建议,如果AWS无法自行正确配置安全措施,那么企业也应该仔细检查自己的安全措施是否得当。
关于CodeBreach漏洞的问题,Wiz于8月25日向AWS报告了此事。AWS在8月27日撤销了aws-sdk-js-automation的个人访问令牌。此外,9月份还采取了进一步的措施来防止非特权用户访问项目凭据。不过,这一问题的公开报道直到1月15日才发生。
/filters:no_upscale()/news/2026/02/github-layered-def/en/resources/1Screenshot 2026-02-03 at 4.12.07 PM-1770164607749.png "GitHub:在原有保护机制的基础上重新构建分层防御体系,以阻止合法流量的被阻断")
