Una mala configuración crítica en CodeBuild de Amazon Web Services (AWS) podría sobrevenir permitido la adquisición completa de los propios repositorios GitHub del proveedor de servicios en la cúmulo, incluido su SDK de JavaScript de AWS, poniendo en peligro todos los entornos de AWS.
La vulnerabilidad ha sido nombrada en código. Violación de código por la empresa de seguridad en la cúmulo Wiz. AWS solucionó el problema en septiembre de 2025 tras la divulgación responsable el 25 de agosto de 2025.
“Al explotar CodeBreach, los atacantes podrían sobrevenir inyectado código astuto para divulgar un compromiso en toda la plataforma, afectando potencialmente no sólo a las innumerables aplicaciones que dependen del SDK, sino a la consola misma, amenazando cada cuenta de AWS”, dijeron los investigadores Yuval Avrahami y Nir Ohfeld en un documentación compartido con The Hacker News.
La defecto, señaló Wiz, es el resultado de una afición en los canales de integración continua (CI) que podría sobrevenir permitido a atacantes no autenticados violar el entorno de construcción, filtrar credenciales privilegiadas como tokens de administrador de GitHub y luego usarlas para impulsar cambios maliciosos en el repositorio comprometido, creando una vía para ataques a la prisión de suministro.
Dicho de otra guisa, el problema socava los filtros de webhook introducidos por AWS para certificar que solo ciertos eventos desencadenen una compilación de CI. Por ejemplo, AWS CodeBuild se puede configurar de guisa que se active una compilación solo cuando los cambios de código se confirman en una rama específica o cuando un ID de cuenta de GitHub o GitHub Enterprise Server (además conocido como ACTOR_ID o ID de actor) coincide con el patrón de expresión regular. Estos filtros sirven para proteger contra solicitudes de procedencia que no son de confianza.
La configuración incorrecta afectó a los siguientes repositorios de GitHub de código extenso administrados por AWS, que están configurados para ejecutar compilaciones en solicitudes de procedencia:
- aws-sdk-js-v3
- aws-lc
- amazon-corretto-proveedor-de-criptos
- awslabs/registro-de-datos-abiertos
Los cuatro proyectos, que implementaron un filtro ACTOR_ID, sufrieron un “defecto funesto” al no incluir dos caracteres para certificar (es asegurar, los anclajes original ^ y final $) necesarios para producir una coincidencia exacta de expresión regular (regex). En cambio, el patrón de expresiones regulares permitía que cualquier ID de heredero de GitHub que fuera una supercadena de un ID admitido (por ejemplo, 755743) omitiera el filtro y activara la compilación.
Adecuado a que GitHub asigna ID de heredero numéricos de forma secuencial, Wiz dijo que podía predecir que los nuevos ID de heredero (actualmente de 9 dígitos) “eclipsarían” el ID de seis dígitos de un mantenedor confiable aproximadamente cada cinco días. Esta información, próximo con el uso de GitHub Apps para automatizar la creación de aplicaciones (que, a su vez, crea un heredero de bot correspondiente), hizo posible gestar una identificación de destino (por ejemplo, 226755743) al activar cientos de nuevos registros de usuarios de bot.
Armado con el ID del actor, un atacante ahora puede desencadenar una compilación y obtener las credenciales de GitHub del esquema CodeBuild aws-sdk-js-v3, un token de golpe personal (PAT) que pertenece al heredero de aws-sdk-js-automation, que tiene privilegios de administrador completos sobre el repositorio.
El atacante puede utilizar este golpe elevado como armas para cursar código directamente a la sucursal principal, aprobar solicitudes de procedencia y filtrar secretos del repositorio, lo que eventualmente preparará el tablado para ataques a la prisión de suministro.
“Las expresiones regulares configuradas de los repositorios anteriores para los filtros de webhook de AWS CodeBuild destinados a amojonar las ID de actores confiables fueron insuficientes, lo que permitió que una ID de actor adquirida de guisa predecible obtuviera permisos administrativos para los repositorios afectados”, dijo AWS en un aviso publicado hoy.
“Podemos confirmar que se trataba de configuraciones erróneas específicas del esquema en los filtros de ID de actor de webhook para estos repositorios y no un problema en el servicio CodeBuild en sí”.
Amazon además dijo que solucionó los problemas identificados, por otra parte de implementar mitigaciones adicionales, como rotaciones de credenciales y pasos para proteger los procesos de compilación que contienen tokens de GitHub o cualquier otra credencial en la memoria. Por otra parte, enfatizó que no encontró evidencia de que CodeBreach haya sido explotado en la naturaleza.
Para mitigar tales riesgos, es esencial que las contribuciones que no son de confianza no activen canales de CI/CD privilegiados al habilitar la nueva puerta de compilación Pull Request Comment Approval, usar ejecutores alojados en CodeBuild para gobernar los activadores de compilación a través de flujos de trabajo de GitHub, certificar que los patrones de expresiones regulares en los filtros de webhook estén anclados, gestar una PAT única para cada esquema de CodeBuild, amojonar los permisos de PAT al pequeño requerido y considerar el uso de una cuenta de GitHub dedicada sin privilegios para Integración con CodeBuild.
“Esta vulnerabilidad es un ejemplo de volumen de texto de por qué los adversarios apuntan a entornos CI/CD: una defecto sutil, que fácilmente se pasa por detención y que puede explotarse para alcanzar un impacto masivo”, señalaron los investigadores de Wiz. “Esta combinación de complejidad, datos no confiables y credenciales privilegiadas crea una tormenta perfecta para violaciones de detención impacto que no requieren golpe previo”.
Esta no es la primera vez que la seguridad del oleoducto CI/CD ha sido objeto de pesquisa. El año pasado, una investigación de Sysdig detalló cómo los flujos de trabajo inseguros de GitHub Actions asociados con el disparador pull_request_target podrían explotarse para filtrar el GITHUB_TOKEN privilegiado y obtener golpe no facultado a docenas de proyectos de código extenso mediante el uso de una única solicitud de procedencia desde una desvío.
Un prospección similar de dos partes de Orca Security encontró pull_request_target inseguro en proyectos de Google, Microsoft, NVIDIA y otras compañías Fortune 500 que podrían sobrevenir permitido a los atacantes ejecutar código infundado, filtrar secretos confidenciales y cursar código astuto o dependencias a sucursales confiables. El aberración ha sido denominado pull_request_nightmare.
“Al aprovecharse de flujos de trabajo mal configurados activados a través de pull_request_target, los adversarios podrían producirse de una solicitud de procedencia bifurcada que no es de confianza a una ejecución remota de código (RCE) en corredores alojados en GitHub o incluso autohospedados”, señaló el investigador de seguridad Roi Nisimi.
“Los flujos de trabajo de GitHub Actions que utilizan pull_request_target nunca deben compulsar código que no sea de confianza sin una empuje adecuada. Una vez que lo hacen, corren el peligro de encontrarse comprometidos por completo”.
