Wiz ontdekt 'CodeBreach': kritiek lek in toeleveringsketen AWS

Het lek ontstond door een subtiele fout in een reguliere expressie (regex) die werd gebruikt om te controleren welke GitHub-gebruikers een 'build' mochten starten. Omdat de filters niet goed waren afgeschermd met zogenaamde anchors (^ en $), konden de onderzoekers een nieuw GitHub-account registreren met een ID dat een goedgekeurd ID bevatte als substring. Hiermee werd het beveiligingsfilter omzeild.

Impact op de AWS Console

Wiz slaagde erin om volledige beheerdersrechten te verkrijgen over de AWS SDK voor JavaScript. Dit is een cruciaal onderdeel dat door tweederde van alle cloudomgevingen wordt gebruikt en de basis vormt van de AWS Console. Een kwaadwillende had via deze weg malafide code kunnen injecteren in de officiële releases, wat had kunnen leiden tot een platformbrede inbreuk bij miljoenen klanten.

Maatregelen door AWS

Wiz heeft de bevindingen direct gedeeld met Amazon Web Services (AWS). Volgens de onderzoekers reageerde AWS snel:

• De kwetsbare filters werden binnen 48 uur na de melding aangepast.
• Er zijn nieuwe beveiligingsfuncties toegevoegd aan CodeBuild, waaronder de 'Pull Request Comment Approval', om te voorkomen dat onvertrouwde bijdragen automatisch bevoorrechte processen starten.
• Na een uitgebreide audit concludeerde AWS dat er geen aanwijzingen zijn dat kwaadwillenden misbruik hebben gemaakt van het lek.

Beveiligingsexperts waarschuwen dat CI/CD-pijplijnen (zoals CodeBuild) een steeds populairder doelwit worden voor hackers, omdat ze vaak over verregaande toegangsrechten beschikken en complexe configuraties vereisen waar kleine foutjes grote gevolgen kunnen hebben.