- Wiz menemukan kesalahan konfigurasi AWS CodeBuild yang memungkinkan pembangunan dengan hak istimewa yang tidak sah, yang disebut “CodeBreach.”
- Cacat berisiko mengekspos token GitHub dan memungkinkan serangan rantai pasokan di seluruh proyek AWS
- AWS memperbaiki masalah dalam waktu 48 jam; tidak ada penyalahgunaan yang terdeteksi, pengguna didesak untuk mengamankan pengaturan CI/CD
Kesalahan konfigurasi kritis di Amazon Layanan Web Services (AWS) CodeBuild mengekspos beberapa repositori GitHub yang dikelola AWS terhadap potensi serangan rantai pasokan, para ahli telah memperingatkan.
Peneliti keamanan Ahli menemukan kelemahannya dan melaporkannya ke AWS, sehingga membantu mengatasi masalah tersebut.
AWS CodeBuild adalah layanan Amazon Web Services yang dikelola sepenuhnya yang secara otomatis membangun dan mengemas kode sumber sebagai bagian dari pipeline CI/CD. Ini menjalankan pekerjaan pembangunan di lingkungan yang terisolasi dan berkembang sesuai permintaan.
Pelanggaran Kode
Laporan Wiz menguraikan kesalahan konfigurasi dalam cara AWS CodeBuild memeriksa pengguna GitHub mana yang diizinkan untuk memicu pekerjaan pembangunan. Sistem menggunakan pola yang tidak memerlukan pencocokan persis, sehingga memungkinkan penyerang memprediksi, dan memperoleh, ID baru yang berisi ID yang disetujui sebagai substring, melewati filter dan memicu pembuatan hak istimewa.
Hal ini memungkinkan pengguna yang tidak tepercaya untuk memulai proses pembangunan dengan hak istimewa yang, pada gilirannya, dapat mengekspos token akses GitHub kuat yang disimpan di lingkungan pembangunan.
Kerentanan tersebut, yang diberi nama “CodeBreach”, dapat memungkinkan kompromi di seluruh platform, yang berpotensi berdampak pada banyak aplikasi dan pelanggan AWS dengan mendistribusikan pembaruan perangkat lunak yang dilakukan secara backdoor.
Untungnya, tampaknya Wiz mengetahuinya sebelum pelaku jahat dapat melakukannya, karena tidak ada bukti CodeBreach disalahgunakan di alam liar.
AWS rupanya memperbaiki filter webhook yang salah dikonfigurasi, memutar kredensial, mengamankan lingkungan build, dan “menambahkan perlindungan tambahan”. Perusahaan juga menyatakan bahwa masalahnya adalah spesifik proyek dan bukan merupakan cacat pada layanan CodeBuild itu sendiri.
“AWS menyelidiki semua kekhawatiran yang dilaporkan yang disorot oleh tim peneliti Wiz dalam ‘Menyusup ke Rantai Pasokan Konsol AWS: Pembajakan Repositori AWS GitHub Inti melalui CodeBuild.’,” katanya dalam sebuah pernyataan yang dibagikan kepada Wiz.
“Sebagai tanggapan, AWS mengambil sejumlah langkah untuk memitigasi semua masalah yang ditemukan oleh Wiz, serta langkah-langkah dan mitigasi tambahan untuk melindungi terhadap kemungkinan masalah serupa di masa depan. Masalah inti dari bypass ID aktor karena regex yang tidak terikat pada repo yang teridentifikasi telah diatasi dalam waktu 48 jam sejak pengungkapan pertama. Mitigasi tambahan diterapkan, termasuk perlindungan lebih lanjut dari semua proses pembangunan yang berisi token Github atau kredensial lainnya dalam memori.
“Selain itu, AWS mengaudit semua lingkungan pembangunan publik lainnya untuk memastikan bahwa tidak ada masalah seperti itu yang terjadi di seluruh kawasan sumber terbuka AWS. Terakhir, AWS mengaudit log semua repositori pembangunan publik serta log CloudTrail terkait dan menentukan bahwa tidak ada aktor lain yang mengambil keuntungan dari masalah regex tidak terikat yang ditunjukkan oleh tim peneliti Wiz.
“AWS memutuskan tidak ada dampak dari masalah yang teridentifikasi terhadap kerahasiaan atau integritas lingkungan pelanggan atau layanan AWS mana pun.”
Wiz melaporkan kesalahan konfigurasi tersebut ke AWS pada akhir Agustus 2025, dan AWS segera memperbaikinya. Namun, kedua perusahaan menyarankan agar pengguna meninjau konfigurasi CI/CD mereka, filter regex webhook jangkar, membatasi hak istimewa token, dan memastikan permintaan penarikan yang tidak tepercaya tidak dapat memicu pipeline build yang memiliki hak istimewa.
Antivirus terbaik untuk semua anggaran
Ikuti TechRadar di Google Berita Dan tambahkan kami sebagai sumber pilihan untuk mendapatkan berita, ulasan, dan opini pakar kami di feed Anda. Pastikan untuk mengklik tombol Ikuti!
Dan tentu saja Anda juga bisa Ikuti TechRadar di TikTok untuk berita, review, unboxing dalam bentuk video, dan dapatkan update rutin dari kami Ada apa juga.
