НАЗАД К НОВОСТЯМ
Срочные новостиКритический

Уязвимость AWS CodeBuild (CodeBreach) угрожала взломом репозиториев GitHub в 2025 году

2 мин чтенияИсточник: The Hacker News

Критическая уязвимость в AWS CodeBuild могла позволить злоумышленникам захватить репозитории GitHub AWS, включая AWS JavaScript SDK, создавая риск атак на цепочки поставок.

Критическая ошибка конфигурации AWS CodeBuild угрожала безопасности репозиториев GitHub

Критическая ошибка конфигурации в Amazon Web Services (AWS) CodeBuild могла позволить злоумышленникам скомпрометировать собственные репозитории GitHub компании AWS, включая AWS JavaScript SDK, что создавало потенциальную угрозу масштабных атак на цепочки поставок в экосистеме AWS. Уязвимость, получившая название CodeBreach, была обнаружена компанией Wiz, специализирующейся на облачной безопасности, и устранена AWS в сентябре 2025 года после ответственного раскрытия информации.

Технические детали уязвимости CodeBreach

Проблема возникла из-за неверной конфигурации интеграции AWS CodeBuild с репозиториями GitHub. По данным исследователей Wiz, уязвимость позволяла получить несанкционированный доступ к внутренним репозиториям GitHub AWS благодаря чрезмерно широким OAuth-токенам и настройкам проектов сборки. Хотя точные технические детали остаются нераскрытыми, ошибка конфигурации могла предоставить злоумышленникам следующие возможности:

  • Полный доступ к репозиториям, включая права на чтение и запись;
  • Возможность внедрения вредоносного кода в AWS SDK или другие критически важные репозитории;
  • Риск компрометации цепочки поставок, так как изменённые зависимости могли распространиться по сервисам AWS.

Исследователи Wiz подчеркнули, что для эксплуатации уязвимости не требовался предварительный доступ к аккаунту AWS, что делало её особенно опасной для организаций, использующих управляемые сервисы сборки AWS.

Анализ потенциальных последствий

В случае успешной эксплуатации уязвимости последствия могли бы быть катастрофическими:

  • Атаки на цепочки поставок: Злоумышленники могли бы изменить AWS SDK или другие зависимости, что привело бы к распространению заражённого ПО среди клиентов AWS.
  • Утечка данных: Конфиденциальная информация из репозиториев, включая проприетарный код AWS, могла быть скомпрометирована.
  • Репутационный ущерб: Успешная атака на собственные репозитории AWS подорвала бы доверие к безопасности платформы.

Компания Wiz не раскрыла, была ли уязвимость активно эксплуатирована до выпуска патча. AWS также не сообщила о каких-либо случаях её использования.

Рекомендации для специалистов по безопасности

Хотя AWS устранила проблему, специалистам по безопасности рекомендуется:

  1. Провести аудит конфигураций CodeBuild: Проверить интеграции с репозиториями GitHub на предмет чрезмерно широких OAuth-токенов или настроек проектов сборки.
  2. Мониторинг рисков цепочки поставок: Внедрить сканирование зависимостей и проверку целостности для AWS SDK и других сторонних библиотек.
  3. Соблюдать принцип минимальных привилегий: Ограничить права доступа к репозиториям только необходимыми ролями и сервисами.
  4. Следить за обновлениями по безопасности: Подписаться на бюллетени безопасности AWS для своевременного информирования о новых угрозах.

AWS не присвоила этой уязвимости CVE-идентификатор, однако организациям рекомендуется убедиться, что их развёртывания CodeBuild соответствуют последним рекомендациям AWS по безопасности.

Оригинальный отчёт опубликован на The Hacker News.

Поделиться

TwitterLinkedIn