- Wiz descubrió configuraciones erróneas de AWS CodeBuild que permiten compilaciones con privilegios no autorizados, conocidas como “CodeBreach”.
- Las fallas corrían el riesgo de exponer los tokens de GitHub y permitir ataques a la cadena de suministro en todos los proyectos de AWS.
- AWS solucionó problemas en 48 horas; No se detectó abuso, se solicita a los usuarios que aseguren la configuración de CI/CD
Una mala configuración crítica en el servicio CodeBuild de Amazon Web Services (AWS) ha expuesto varios repositorios de GitHub administrados por AWS a posibles ataques a la cadena de suministro, advirtieron los expertos.
El investigador de seguridad Wiz descubrió la falla y la informó a AWS, ayudando así a solucionar el problema.
AWS CodeBuild es un servicio de Amazon Web Services totalmente administrado que crea y empaqueta automáticamente código fuente como parte de una canalización de CI/CD. Se ejecuta en entornos aislados y a escala según demanda.
descifrar código
El informe de Wiz describe cómo AWS CodeBuild verificó qué usuarios de GitHub tenían permiso para activar trabajos de compilación, lo que provocó una configuración incorrecta. El sistema utilizaba un patrón que no requería una coincidencia exacta, lo que permitía a los atacantes predecir y obtener nuevos ID que contenían el ID autorizado como una subcadena, evitando el filtro y activando compilaciones privilegiadas.
Esto permite a los usuarios que no son de confianza iniciar procesos de compilación privilegiados que, a su vez, pueden exponer tokens de acceso sólidos de GitHub almacenados en el entorno de compilación.
La vulnerabilidad, denominada “Codebreach”, podría permitir que se comprometa toda la plataforma, afectando potencialmente a numerosas aplicaciones y a los clientes de AWS mediante la distribución de actualizaciones de software de puerta trasera.
Afortunadamente, parece que Wiz lo detectó antes que cualquier actor malicioso, ya que no hay evidencia de abuso en el ámbito de la violación de códigos.
Aparentemente, AWS ha reparado filtros de webhook mal configurados, certificados rotados, entornos de compilación seguros y “agregado medidas de seguridad adicionales”. La compañía también dijo que el problema es específico del proyecto y no es un error en el servicio CodeBuild en sí.
“AWS investigó todas las preocupaciones reportadas destacadas por el equipo de investigación de Wiz en ‘Intrusión en la cadena de suministro de la consola AWS: Hijacking Core AWS GitHub Repositories via CodeBuild'”. Así lo afirmó en un comunicado compartido con Wiz.
“En respuesta, AWS ha tomado varias medidas para mitigar todos los problemas descubiertos por Wiz, así como medidas y mitigaciones adicionales para protegerse contra posibles problemas futuros similares. El problema original de omisión de ID de actor debido a expresiones regulares no ancladas para repositorios marcados se mitigó dentro de las 48 horas posteriores al primer lanzamiento. Se implementaron mitigaciones adicionales que incluían otra seguridad o todos los demás procesos en Gub. Certificados en memoria.
“Además, AWS ha auditado todos los demás entornos de compilación públicos para garantizar que no existan tales problemas en todo el patrimonio de código abierto de AWS. Finalmente, AWS ha auditado los registros de todos los repositorios de compilación públicos, así como los registros de CloudTrail asociados, y determinó que ningún otro actor se ha aprovechado del problema de expresiones regulares sin anclaje demostrado por el equipo de investigación de Wiz”.
“AWS ha determinado que el problema identificado no tiene impacto en la privacidad o integridad de ningún entorno de cliente ni de ningún servicio de AWS”.
Wiz informó la configuración incorrecta a AWS a fines de agosto de 2025, y este último pronto lo solucionó. Sin embargo, ambas organizaciones recomiendan a los usuarios limitar su configuración de CI/CD, anclar filtros de expresiones regulares de webhook, privilegios de token y asegurarse de que las solicitudes de extracción que no sean de confianza no puedan activar canales de compilación privilegiados.
El mejor antivirus para todos los bolsillos
Siga TechRadar en Google News Y Agréganos como fuente preferida Recibe noticias, reseñas y opiniones de nuestros expertos en tu feed. ¡No olvides hacer clic en el botón de seguir!
Y por supuesto que puedes Siga TechRadar en TikTok Reciba nuestras actualizaciones periódicas en forma de noticias, reseñas, unboxing y videos. WhatsApp muy
