【安全资讯】AWS CodeBuild关键配置漏洞曾危及全球云环境，或引发超SolarWinds规模供应链攻击

概要：

近日，Wiz安全研究人员披露了亚马逊AWS云服务中一个关键的供应链安全漏洞。该漏洞存在于AWS的CodeBuild持续集成服务中，由于Webhook过滤器配置不当，攻击者可完全接管AWS自身的GitHub代码库，进而威胁全球所有AWS环境。研究人员警告，此漏洞若被利用，可能引发比SolarWinds事件影响更广泛的供应链攻击，波及数百万应用程序和云基础设施。

主要内容：

该漏洞被Wiz团队命名为“CodeBreach”，其核心问题在于AWS CodeBuild服务中用于防御不可信代码拉取请求的Webhook过滤器存在正则表达式配置缺陷。具体而言，用于允许列表的ACTOR_ID过滤器未使用起始符（^）和结束符（$）进行锚定。这导致任何GitHub用户ID，只要其字符串包含了受信任维护者的ID，即可绕过安全检查，触发自动化构建流程。

攻击者利用此缺陷，通过GitHub Apps功能批量创建应用，从而生成包含目标维护者ID的机器人用户ID。在成功绕过过滤器后，攻击者提交一个看似正常的代码拉取请求，但其中隐藏了恶意负载。该负载是一个特制的NPM包依赖项，旨在在构建环境中执行并窃取项目的GitHub访问凭证。

一旦获得凭证，攻击者便能提升权限，在目标代码库中创建具有管理员权限的账户，获得向主分支推送代码、批准拉取请求和窃取仓库密钥的能力。研究人员证实，他们利用此方法成功获得了对AWS JavaScript SDK等多个关键代码库的完全管理员访问权限，其中包括疑似AWS内部镜像库。

此攻击的技术门槛相对较低，主要利用标准的开发者工作流程（如复刻仓库和提交拉取请求），而非复杂漏洞利用。其真正挑战在于制作足够隐蔽的恶意负载，以避免代码审查时被察觉。研究人员指出，该漏洞暴露了CI/CD安全中的一个普遍盲点，即通过自动化构建流程授予外部贡献者过高权限的风险，这一问题同样存在于GitHub Actions、Jenkins等其他主流CI/CD平台中。