Два пропущенных символа и хаос в облаке. Как простая ошибка едва не привела к взлому всей инфраструктуры Amazon
NewsMakerВ Wiz обнаружили критическую уязвимость в сервисе AWS CodeBuild.
Исследователи безопасности из компании Wiz обнаружили критическую уязвимость в сервисе AWS CodeBuild , которая позволяла полностью захватить GitHub-репозитории самой Amazon и потенциально скомпрометировать облачные среды клиентов по всему миру.
Уязвимость, получившая название CodeBreach, была раскрыта Amazon в августе прошлого года и исправлена в сентябре — до того, как ею успели воспользоваться злоумышленники. По словам исследователей, это предотвратило атаку на цепочку поставок, которая могла бы превзойти по масштабу печально известный инцидент с SolarWinds.
«Эта уязвимость скомпрометировала ключевую библиотеку, используемую в консоли AWS — центральной нервной системе облака», — рассказал изданию The Register исследователь Wiz Юваль Аврахами. Он подчеркнул, что если атака на SolarWinds дала злоумышленникам доступ к корпоративным сетям, то эта брешь могла предоставить возможность выполнять код прямо в интерфейсе, через который администраторы управляют всей своей инфраструктурой.
Причина уязвимости оказалась до обидного простой: в фильтрах вебхуков отсутствовали два символа. CodeBuild — это управляемый сервис непрерывной интеграции Amazon, который часто подключается к GitHub-репозиториям. Для защиты от недоверенных pull-запросов используются специальные фильтры, и один из них — ACTOR_ID — позволяет создать список одобренных пользователей GitHub, которым разрешено запускать сборку.
Исследователи безопасности из компании Wiz обнаружили критическую уязвимость в сервисе AWS CodeBuild , которая позволяла полностью захватить GitHub-репозитории самой Amazon и потенциально скомпрометировать облачные среды клиентов по всему миру.
Уязвимость, получившая название CodeBreach, была раскрыта Amazon в августе прошлого года и исправлена в сентябре — до того, как ею успели воспользоваться злоумышленники. По словам исследователей, это предотвратило атаку на цепочку поставок, которая могла бы превзойти по масштабу печально известный инцидент с SolarWinds.
«Эта уязвимость скомпрометировала ключевую библиотеку, используемую в консоли AWS — центральной нервной системе облака», — рассказал изданию The Register исследователь Wiz Юваль Аврахами. Он подчеркнул, что если атака на SolarWinds дала злоумышленникам доступ к корпоративным сетям, то эта брешь могла предоставить возможность выполнять код прямо в интерфейсе, через который администраторы управляют всей своей инфраструктурой.
Причина уязвимости оказалась до обидного простой: в фильтрах вебхуков отсутствовали два символа. CodeBuild — это управляемый сервис непрерывной интеграции Amazon, который часто подключается к GitHub-репозиториям. Для защиты от недоверенных pull-запросов используются специальные фильтры, и один из них — ACTOR_ID — позволяет создать список одобренных пользователей GitHub, которым разрешено запускать сборку.