- Wizは、権限のない特権ビルドを可能にするAWS CodeBuildの設定ミスを発見し、「CodeBreach」と命名した。
- この欠陥によりGitHubトークンが露出し、AWSプロジェクト全体でサプライチェーン攻撃が可能になるリスクがあった
- AWSは48時間以内に問題を修正。悪用の痕跡はなく、ユーザーにはCI/CD設定の保護が呼びかけられている
Amazon Web Services(AWS)のCodeBuildサービスにおける重大な設定ミスにより、AWSが管理する複数のGitHubリポジトリがサプライチェーン攻撃の潜在的な標的となっていたと、専門家が警告している。
セキュリティ研究者のWizがこの欠陥を発見してAWSに報告し、問題の解消に貢献した。
AWS CodeBuildは、CI/CDパイプラインの一部としてソースコードを自動的にビルドおよびパッケージ化する、完全マネージドのAmazon Web Servicesサービスだ。隔離された環境でビルドジョブを実行し、需要に応じてスケールする。
CodeBreach
Wizの報告書は、この設定ミスが、AWS CodeBuildがどのGitHubユーザーにビルドジョブのトリガーを許可するかを確認する方法にあったことを示している。システムは完全一致を必要としないパターンを使用していたため、攻撃者が承認済みIDを部分文字列として含む新しいIDを予測して取得し、フィルターを回避して特権ビルドを起動できた。
これにより、信頼されていないユーザーが特権ビルドプロセスを開始でき、その結果、ビルド環境に保存されている強力なGitHubアクセス・トークンが露出する可能性があった。
「CodeBreach」と名付けられたこの脆弱性は、プラットフォーム全体の侵害を可能にし、バックドアを仕込んだソフトウェア更新を配布することで、無数のアプリケーションやAWS顧客に影響を及ぼし得た。
幸いなことに、CodeBreachが実環境で悪用された証拠はなく、悪意ある攻撃者より先にWizが発見したようだ。
AWSは、設定ミスのあったWebhookフィルターを修正し、認証情報をローテーションし、ビルド環境を保護し、「追加の安全策を追加した」とされる。同社はまた、この問題はプロジェクト固有であり、CodeBuildサービス自体の欠陥ではないとも述べた。
「AWSは、Wizの研究チームによる『Infiltrating the AWS Console Supply Chain: Hijacking Core AWS GitHub Repositories via CodeBuild.』で指摘された、報告済みの懸念事項をすべて調査した」と、Wizと共有された声明で述べている。
「これを受けてAWSは、Wizが発見したすべての問題を緩和するための複数の措置に加え、将来起こり得る同様の問題から保護するための追加の手順と緩和策を講じた。特定されたリポジトリにおいて、アンカーされていない正規表現によりアクターIDの回避が可能になるという中核的な問題は、最初の開示から48時間以内に緩和された。さらに、メモリ内にGithubトークンやその他の認証情報を含むすべてのビルドプロセスの保護を強化するなど、追加の緩和策も実装した。
“加えてAWSは、AWSのオープンソース資産全体で同様の問題が存在しないことを確認するため、他のすべての公開ビルド環境を監査した。最後にAWSは、すべての公開ビルドリポジトリのログおよび関連するCloudTrailログを監査し、Wizの研究チームが示したアンカーされていない正規表現の問題を、他のアクターが悪用した形跡はないと判断した。
“AWSは、特定された問題が、いかなる顧客環境またはいかなるAWSサービスの機密性または完全性にも影響を与えなかったと判断した。」
Wizは2025年8月下旬にこの設定ミスをAWSへ報告し、AWSはその後まもなく修正した。しかし両社は、ユーザーに対してCI/CD構成の見直し、Webhookの正規表現フィルターのアンカー設定、トークン権限の制限、信頼されていないプルリクエストが特権ビルドパイプラインをトリガーできないようにすることを推奨している。
