- Wiz descubrió una mala configuración de AWS CodeBuild que permitía compilaciones con privilegios no autorizados, denominada “CodeBreach”.
- La falla corría el riesgo de exponer los tokens de GitHub y permitir ataques a la cadena de suministro en proyectos de AWS.
- AWS solucionó el problema en 48 horas; no se detectó ningún abuso, se alentó a los usuarios a proteger las configuraciones de CI/CD
Una mala configuración crítica en Amazonas El servicio CodeBuild de Web Services (AWS) ha expuesto varios repositorios de GitHub administrados por AWS a posibles ataques a la cadena de suministro, advirtieron los expertos.
Investigadores de seguridad Fenómeno descubrió la falla y la informó a AWS, ayudando así a resolver el problema.
AWS CodeBuild es un servicio de Amazon Web Services totalmente administrado que crea y empaqueta automáticamente código fuente como parte de una canalización de CI/CD. Realiza trabajos de construcción en ambientes aislados y escala bajo demanda.
Violación del código
El informe de Wiz describe cómo se produjo una configuración incorrecta en la forma en que AWS CodeBuild verificó qué usuarios de GitHub tenían permiso para activar trabajos de compilación. El sistema utilizaba un patrón que no requería una coincidencia exacta, lo que permitía a los atacantes predecir y obtener nuevos ID que contenían ID aprobados como subcadenas, evitando el filtro y activando compilaciones privilegiadas.
Esto permitió a los usuarios que no eran de confianza iniciar procesos de compilación privilegiados que, a su vez, podrían exponer potentes tokens de acceso de GitHub almacenados en el entorno de compilación.
La vulnerabilidad, llamada “CodeBreach”, podría haber permitido que toda la plataforma se viera comprometida, lo que podría afectar a numerosas aplicaciones y clientes de AWS al distribuir actualizaciones de software de puerta trasera.
Afortunadamente, parece que Wiz lo detectó antes que cualquier actor malicioso, ya que no hay evidencia de que se haya abusado de CodeBreach en la naturaleza.
Aparentemente, AWS ha reparado filtros de webhook mal configurados, credenciales rotadas, entornos de compilación seguros y “agregó protecciones adicionales”. La empresa afirmó además que el problema era específico del proyecto y no una falla del servicio CodeBuild en sí.
“AWS ha investigado todas las preocupaciones reportadas destacadas por el equipo de investigación de Wiz en ‘Infiltración en la cadena de suministro de la consola de AWS: secuestro de los repositorios principales de AWS GitHub a través de CodeBuild'”, dijo en un comunicado compartido con Wiz.
“En respuesta, AWS ha tomado una serie de medidas para mitigar todos los problemas descubiertos por Wiz, así como medidas y mitigaciones adicionales para proteger contra posibles problemas futuros similares. El problema principal de la deriva de ID de actor debido a expresiones regulares no ancladas para los repositorios identificados se mitigó dentro de las 48 horas posteriores a la primera divulgación. Se han implementado mitigaciones adicionales, incluidas protecciones adicionales para todos los procesos de compilación que contienen tokens de Github o cualquier otra credencial en la memoria.
“Además, AWS auditó todos los demás entornos de compilación públicos para garantizar que tales problemas no existieran en todo el conjunto de código abierto de AWS. Finalmente, AWS auditó los registros de todos los repositorios de compilación públicos, así como los registros de CloudTrail asociados, y determinó que ningún otro actor se había aprovechado del problema de expresiones regulares no ancladas demostrado por el equipo de investigación de Wiz.
“AWS ha determinado que el problema identificado no tiene ningún impacto en la confidencialidad o integridad de ningún entorno de cliente ni de ningún servicio de AWS”.
Wiz informó la configuración incorrecta a AWS a fines de agosto de 2025 y AWS la corrigió poco después. Sin embargo, ambas empresas recomiendan que los usuarios revisen sus configuraciones de CI/CD, anclen filtros de expresiones regulares de webhook, limiten los privilegios de los tokens y se aseguren de que las solicitudes de extracción que no sean de confianza no puedan activar canales de compilación privilegiados.
El mejor antivirus para cada presupuesto
Siga TechRadar en Google News y agréganos como fuente preferida para recibir noticias, análisis y opiniones de expertos en tus feeds. ¡Asegúrate de hacer clic en el botón Seguir!
Y por supuesto que tú también puedes Siga TechRadar en TikTok para noticias, reseñas, unboxings en formato de video y reciba actualizaciones periódicas de nuestra parte en WhatsApp también.
