- Wiz descobriu uma configuração incorreta do AWS CodeBuild que permitia compilações privilegiadas não autorizadas, também conhecidas como “CodeBreach”.
- A falha corria o risco de expor tokens do GitHub e permitir ataques à cadeia de suprimentos em projetos da AWS
- A AWS resolveu o problema em 48 horas; nenhum abuso detectado, os usuários foram solicitados a verificar as configurações de CI/CD
Uma configuração incorreta crítica no serviço CodeBuild da Amazon Web Services (AWS) expôs os repositórios GitHub gerenciados pela AWS a possíveis ataques à cadeia de suprimentos, alertaram especialistas.
Os pesquisadores de segurança da Wiz descobriram o bug e o relataram à AWS, ajudando a resolver o problema.
O AWS CodeBuild é um serviço Amazon Web Services totalmente gerenciado que cria e empacota automaticamente o código-fonte como parte de um pipeline de CI/CD. Executa compilações em ambientes isolados e dimensiona sob demanda.
Violação de código
O relatório de Wiz explica como houve uma configuração incorreta na forma como o AWS CodeBuild verificou se os usuários no GitHub tinham permissão para iniciar trabalhos de construção. O sistema usava um padrão que não exigia correspondência exata, permitindo que invasores previssem e obtivessem novos IDs que continham IDs aceitos como substrings, ignorando o filtro e iniciando compilações privilegiadas.
Isso permitiu que usuários não confiáveis iniciassem processos de construção privilegiados e, por sua vez, expusessem poderosos tokens de acesso do GitHub armazenados no ambiente de construção.
A chamada vulnerabilidade “CodeBreach” poderia, portanto, permitir um comprometimento de toda a plataforma, afetando potencialmente vários aplicativos e clientes da AWS ao distribuir atualizações de software de back-end.
Felizmente, parece que Wiz conseguiu isso antes que os malfeitores pudessem, já que não há evidências de que o CodeBreach tenha abusado dele na natureza.
Aparentemente, a AWS adicionou filtros de webhook mal configurados, credenciais rotacionadas, ambientes de construção seguros e “proteções adicionais”. A empresa também observou que o problema era específico do projeto e não um bug no próprio serviço CodeBuild.
“A AWS investigou todas as preocupações destacadas pela equipe de pesquisa de Wiz em ‘Infiltrando-se na cadeia de suprimentos do console AWS: sequestrando repositórios principais do AWS GitHub via CodeBuild’”, disse ele em um comunicado compartilhado com Wiz.
“Em resposta, a AWS tomou várias medidas para mitigar todos os problemas descobertos pelo Wiz, bem como etapas e mitigações adicionais para proteger contra possíveis problemas semelhantes no futuro. O principal problema de evitar IDs de atores devido a regexes não fixadas para repostagens identificadas foi mitigado dentro de 48 horas após a primeira divulgação. Mitigações adicionais foram implementadas, incluindo salvaguardas adicionais para quaisquer outros processos de construção do Github na memória ou credenciais.
“Além disso, a AWS auditou todos os outros ambientes de construção públicos para garantir que não existissem tais problemas no espaço de código aberto da AWS. Finalmente, a AWS auditou os logs de todos os repositórios de construção públicos, bem como os logs associados do CloudTrail, e determinou que nenhum outro ator havia aproveitado o problema de regex que a equipe de pesquisa do Wiz não havia demonstrado.
“A AWS determinou que o problema identificado não teve impacto na confidencialidade ou integridade do ambiente do cliente ou dos serviços da AWS.”
Wiz relatou a configuração incorreta à AWS no final de agosto de 2025, que logo foi corrigida pela AWS. No entanto, ambas as empresas recomendam que os usuários revisem suas configurações de CI/CD, ancorem filtros de otimização de webhook, limitem privilégios de token e garantam que solicitações pull não confiáveis não possam acionar pipelines de construção privilegiados.
O melhor antivírus para cada orçamento
Siga o TechRadar no Google Notícias e adicione-nos como sua fonte padrão para receber notícias, opiniões e opiniões de nossos especialistas em feeds. Certifique-se de clicar no botão Continuar!
E é claro que você também pode Siga o TechRadar no TikTok para receber novidades, análises, unboxings em formato de vídeo e receber atualizações constantes nossas WhatsApp também
