- Wiz descobriu uma configuração incorreta do AWS CodeBuild, permitindo compilações privilegiadas não autorizadas, apelidadas de “CodeBreach”.
- A falha corria o risco de expor tokens do GitHub e permitir ataques à cadeia de suprimentos em projetos da AWS
- AWS corrigiu problema em 48 horas; nenhum abuso detectado, os usuários foram incentivados a proteger as configurações de CI/CD
Uma configuração incorreta crítica em Amazônia O serviço CodeBuild da Web Services (AWS) expôs vários repositórios GitHub gerenciados pela AWS a possíveis ataques à cadeia de suprimentos, alertaram especialistas.
Pesquisadores de segurança Wiz descobriu a falha e relatou-a à AWS, ajudando assim a solucionar o problema.
O AWS CodeBuild é um serviço Amazon Web Services totalmente gerenciado que cria e empacota automaticamente o código-fonte como parte de um pipeline de CI/CD. Ele executa trabalhos de construção em ambientes isolados e é dimensionado sob demanda.
Violação de código
O relatório de Wiz descreve como ocorreu a configuração incorreta na maneira como o AWS CodeBuild verificou quais usuários do GitHub tinham permissão para acionar trabalhos de construção. O sistema usou um padrão que não exigia uma correspondência exata, permitindo que os invasores previssem e obtivessem novos IDs que continham IDs aprovados como substrings, ignorando o filtro e acionando compilações privilegiadas.
Isso permitiu que usuários não confiáveis iniciassem processos de construção privilegiados que poderiam, por sua vez, expor poderosos tokens de acesso do GitHub armazenados no ambiente de construção.
A vulnerabilidade, denominada “CodeBreach”, poderia ter permitido o comprometimento de toda a plataforma, impactando potencialmente inúmeras aplicações e clientes da AWS ao distribuir atualizações de software backdoor.
Felizmente, parece que Wiz o detectou antes que qualquer agente malicioso pudesse, já que não há evidências de que o CodeBreach tenha sido abusado na natureza.
A AWS aparentemente corrigiu os filtros de webhook mal configurados, alternou credenciais, protegeu os ambientes de construção e “adicionou proteções adicionais”. A empresa afirmou ainda que o problema era específico do projeto e não uma falha do serviço CodeBuild em si.
“A AWS investigou todas as preocupações relatadas destacadas pela equipe de pesquisa de Wiz em ‘Infiltrando-se na cadeia de suprimentos do console AWS: sequestrando repositórios principais do AWS GitHub via CodeBuild’”, disse em um comunicado compartilhado com Wiz.
“Em resposta, a AWS tomou uma série de medidas para mitigar todos os problemas descobertos pelo Wiz, bem como medidas e mitigações adicionais para proteger contra possíveis problemas futuros semelhantes. O problema principal do desvio de ID do ator devido a expressões regulares não ancoradas para os repositórios identificados foi mitigado dentro de 48 horas após a primeira divulgação. Mitigações adicionais foram implementadas, incluindo proteções adicionais de todos os processos de construção que contêm tokens do Github ou quaisquer outras credenciais na memória.
“Além disso, a AWS auditou todos os outros ambientes de construção públicos para garantir que tais problemas não existissem em todo o patrimônio de código aberto da AWS. Finalmente, a AWS auditou os logs de todos os repositórios de construção públicos, bem como os logs associados do CloudTrail e determinou que nenhum outro ator havia aproveitado o problema de regex não ancorado demonstrado pela equipe de pesquisa da Wiz.
“A AWS determinou que não houve impacto do problema identificado na confidencialidade ou integridade de qualquer ambiente do cliente ou de qualquer serviço da AWS.”
Wiz relatou a configuração incorreta à AWS no final de agosto de 2025, e esta a corrigiu logo depois. No entanto, ambas as empresas recomendam que os usuários revisem suas configurações de CI/CD, ancorarem filtros regex de webhook, limitem privilégios de token e certifiquem-se de que solicitações pull não confiáveis não possam acionar pipelines de construção privilegiados.
O melhor antivírus para todos os orçamentos
Siga o TechRadar no Google Notícias e adicione-nos como fonte preferencial para receber notícias, análises e opiniões de especialistas em seus feeds. Certifique-se de clicar no botão Seguir!
E é claro que você também pode Siga o TechRadar no TikTok para notícias, análises, unboxings em formato de vídeo e receba atualizações regulares nossas em WhatsApp também.