Wiz Research, AWS Console'un tedarik zincirini riske atan ve AWS GitHub depolarının ele geçirilmesine yol açan kritik bir tedarik zinciri güvenlik açığı olan CodeBreach'i ortaya çıkardı. Bu güvenlik açığı, özellikle AWS Console'a güç veren temel bir kütüphane olan AWS JavaScript SDK'sı da dahil olmak üzere önemli AWS GitHub depolarının tamamen ele geçirilmesine olanak tanıyordu. CodeBreach'i istismar eden saldırganlar, kötü amaçlı kod enjekte ederek platform çapında bir saldırı başlatabilir, böylece sadece SDK'ya bağımlı sayısız uygulamayı değil, doğrudan Console'u da etkileyerek her AWS hesabını tehdit edebilirdi.
Güvenlik açığı, depoların AWS CodeBuild CI pipeline'larının derleme tetikleyicilerini nasıl işlediğindeki ince bir hatadan kaynaklanıyordu. Bir Regex filtresindeki yalnızca iki eksik karakter, kimliği doğrulanmamış saldırganların derleme ortamına sızmasına ve ayrıcalıklı kimlik bilgilerini sızdırmasına olanak tanıdı. Wiz, bu ince yanlış yapılandırmanın tam bir depo ele geçirilmesine nasıl yol açtığını detaylandırdı ve CodeBuild kullanıcıları için benzer saldırılara karşı projelerini güçlendirmek adına önemli öneriler sundu.
Wiz, tüm bulguları sorumlu bir şekilde AWS'ye bildirdi ve AWS sorunu hızla giderdi. AWS ayrıca, benzer saldırıları önlemek için CodeBuild hizmeti içinde küresel güçlendirme önlemleri uyguladı. Özellikle, yeni Pull Request Comment Approval derleme kapısı, kuruluşlara güvenilmeyen derlemeleri önlemek için basit ve güvenli bir yol sunuyor. Bu olay, Nx S1ngularity olayı gibi son tedarik zinciri saldırılarında görülen tanıdık bir modeli takip ediyor; burada ince CI/CD yanlış yapılandırmaları orantısız derecede etkili saldırılara yol açıyor. Kuruluşların CI/CD pipeline'larını güçlendirmeleri acil bir ihtiyaç olarak öne çıkıyor.
AWS Console'un temelini oluşturan kütüphanelerin bile tedarik zinciri zafiyetlerine açık olabileceğini göstererek bulut güvenliğinin karmaşıklığını vurguluyor.