AWS CodeBuild 漏洞（CodeBreach）2025年险致 GitHub 代码库被接管

AWS CodeBuild 配置缺陷导致 GitHub 代码库面临供应链攻击风险

一项严重的安全配置缺陷影响了 Amazon Web Services（AWS）CodeBuild，可能使威胁行为者入侵 AWS 自身的 GitHub 代码库——包括 AWS JavaScript SDK——进而引发大规模供应链攻击。该漏洞被云安全公司 Wiz 命名为 CodeBreach，AWS 已于 2025 年 9 月 在负责任披露后完成修复。

CodeBreach 漏洞技术细节

该漏洞源于 AWS CodeBuild 与 GitHub 代码库集成时的配置错误。Wiz 研究人员指出，问题出在过于宽松的 OAuth 令牌范围（OAuth token scopes） 和 构建项目设置（build project settings） 上。虽然具体技术细节尚未公开，但该配置缺陷可能使攻击者获得以下权限：

• 完整代码库访问权限，包括读/写权限
• 恶意代码注入能力，可篡改 AWS SDK 或其他关键代码库
• 供应链攻击风险，因被篡改的依赖项可能在 AWS 服务中传播

Wiz 强调，该漏洞无需事先获取 AWS 账户访问权限，对依赖 AWS 托管构建服务的组织构成严重威胁。

影响分析

若该漏洞被利用，后果可能极为严重：

• 供应链攻击：攻击者可篡改 AWS SDK 或其他依赖项，导致 AWS 客户部署的软件被植入后门。
• 数据泄露：敏感代码库数据（包括 AWS 专有代码）可能遭窃取。
• 声誉损害：成功攻击 AWS 自身代码库将严重削弱用户对平台安全性的信任。

Wiz 未披露该漏洞是否在修复前被主动利用，AWS 亦未报告任何滥用证据。

安全团队建议

尽管 AWS 已修复该问题，安全专业人员仍应采取以下措施：

1. 审计 CodeBuild 配置：检查 GitHub 代码库集成中的 OAuth 令牌和构建项目设置，确保权限最小化。
2. 监控供应链风险：对 AWS SDK 及其他第三方库实施依赖扫描和完整性检查。
3. 强制最小权限原则：严格限制代码库访问权限，仅授予必要角色和服务。
4. 关注云安全公告：订阅 AWS 安全公告，及时了解新兴威胁。

AWS 未为该漏洞分配 CVE 编号，但建议组织确保其 CodeBuild 部署符合 AWS 最新安全最佳实践。

原文报道来自 The Hacker News。