Wiz的安全研究人員指出，AWS的CodeBuild服務(wù)中存在一個(gè)關(guān)鍵配置錯(cuò)誤，這個(gè)錯(cuò)誤允許完全接管該云服務(wù)提供商的GitHub存儲庫，并使全球所有AWS環(huán)境面臨風(fēng)險(xiǎn)……

Wiz團(tuán)隊(duì)在8月份向AWS披露了這個(gè)供應(yīng)鏈問題，而云巨頭在9月份修復(fù)了這個(gè)安全漏洞，避免了網(wǎng)絡(luò)犯罪分子或政府支持的黑客發(fā)現(xiàn)并利用這個(gè)配置錯(cuò)誤引發(fā)全球性崩潰。

據(jù)說，這防止了一場比SolarWinds更大的供應(yīng)鏈攻擊——所以在今晚入睡之前，別忘了感謝你身邊那些友好的安全研究人員。

Wiz的漏洞研究員Yuval Avrahami對《注冊》表示：‘這個(gè)漏洞危及了AWS控制臺使用的核心庫——云的中樞神經(jīng)系統(tǒng)。SolarWinds讓攻擊者能夠訪問企業(yè)網(wǎng)絡(luò)，而這個(gè)漏洞可能讓攻擊者在管理員用來管理整個(gè)基礎(chǔ)設(shè)施的界面中執(zhí)行代碼?！?/p>

值得一提的是，去年3月，谷歌宣布計(jì)劃以320億美元收購Wiz，并將其云安全產(chǎn)品整合到與AWS直接競爭的Google Cloud平臺中。

在與《注冊》分享的分析中，Avrahami和他的合著者詳細(xì)介紹了他們稱之為CodeBreach的供應(yīng)鏈漏洞。

它存在于 CodeBuild 中，這是 AWS 的托管持續(xù)集成（CI）服務(wù)，通常與 GitHub 倉庫連接。這個(gè)問題是由于 webhook 過濾器中缺少兩個(gè)字符引起的——這些規(guī)則是事件觸發(fā)構(gòu)建所需滿足的條件——它們旨在防止不受信任的拉取請求。

Avrahami 還提到，這個(gè)安全威脅可能不僅僅局限于 AWS。

“這個(gè)漏洞利用了 CI/CD [持續(xù)集成/持續(xù)交付] 安全中的盲點(diǎn)，并不是 AWS 獨(dú)有的問題，”他告訴我們?！斑@個(gè)特定風(fēng)險(xiǎn)——通過自動化 CI/CD 構(gòu)建給外部貢獻(xiàn)者過多權(quán)限——是一個(gè)普遍的挑戰(zhàn)。無論是使用 GitHub Actions、Jenkins 還是像 AWS CodeBuild 這樣的云 CI 服務(wù)，每個(gè)主要云提供商和科技公司在其開源供應(yīng)鏈中都面臨著這個(gè)確切的風(fēng)險(xiǎn)。”

在 Wiz 報(bào)告中發(fā)布的聲明中，AWS 的發(fā)言人表示，云服務(wù)提供商調(diào)查并確認(rèn)研究人員發(fā)現(xiàn)的配置缺陷對任何客戶環(huán)境或 AWS 服務(wù)“沒有影響”。

聲明中提到：“AWS 采取了一系列措施來解決 Wiz 發(fā)現(xiàn)的所有問題，以及額外的步驟和緩解措施，以防止類似的未來問題?！甭暶鬟€提到：“由于未固定的正則表達(dá)式導(dǎo)致的演員 ID 繞過問題，在首次披露后的 48 小時(shí)內(nèi)得到了緩解，”并補(bǔ)充說，AWS 還對所有包含 GitHub 令牌或其他憑據(jù)的構(gòu)建過程實(shí)施了進(jìn)一步保護(hù)。

但等等，還有更多：AWS還表示，它對所有其他公共構(gòu)建環(huán)境進(jìn)行了審計(jì)，以確保其開源項(xiàng)目中不存在類似的安全漏洞。此外，它還審計(jì)了所有公共構(gòu)建庫的日志以及相關(guān)的CloudTrail日志，這表明沒有其他參與者利用Wiz研究團(tuán)隊(duì)所展示的未固定正則表達(dá)式問題。

Wiz團(tuán)隊(duì)開始在亞馬遜的CI管道中進(jìn)行探查，因?yàn)閬嗰R遜Q VS Code擴(kuò)展曾因類似的CodeBuild問題遭遇供應(yīng)鏈攻擊。

首先，研究人員決定搜索與公共CodeBuild項(xiàng)目相關(guān)的GitHub倉庫。

他們在報(bào)告中寫道：“當(dāng)設(shè)置為公開時(shí)，CodeBuild項(xiàng)目會通過一個(gè)可公開訪問的儀表板展示其設(shè)置，并在觸發(fā)構(gòu)建的任何提交的狀態(tài)中自動鏈接到它。從儀表板上，任何人都可以查看項(xiàng)目的構(gòu)建日志和配置 - 包括所使用的具體Webhook過濾器?！?/p>

他們發(fā)現(xiàn)有四個(gè)活躍的項(xiàng)目，并且這些項(xiàng)目被配置為在拉取請求時(shí)運(yùn)行構(gòu)建：

所有四個(gè)項(xiàng)目都使用了 ACTOR_ID webhook 過濾器，這是一種安全功能，提供了一個(gè)經(jīng)過批準(zhǔn)的 GitHub 用戶 ID 列表。只有這些受信任的用戶才能觸發(fā)構(gòu)建。

這個(gè)過濾器是一個(gè)正則表達(dá)式（regex）模式，但沒有進(jìn)行錨定?！皼]有開始 ^ 和結(jié)束 $ 錨點(diǎn)來要求精確匹配，正則表達(dá)式引擎不會尋找一個(gè)完全匹配模式的字符串，而是尋找一個(gè)僅僅包含它的字符串，”研究人員寫道。“這意味著任何包含已批準(zhǔn) ID 的 GitHub 用戶 ID 都可以繞過過濾器。”

接下來，安全偵探們找到了如何注冊一個(gè)包含現(xiàn)有維護(hù)者 ID 的新 GitHub 用戶 ID。為此，他們使用了 GitHub Apps，這允許用戶創(chuàng)建應(yīng)用程序，生成一個(gè)相應(yīng)的機(jī)器人用戶與拉取請求互動，并提供一個(gè)唯一的確認(rèn) URL，同時(shí)支持自動化應(yīng)用程序創(chuàng)建請求。

Wiz 通過 GitHub Apps 自動化了 200 個(gè)應(yīng)用程序創(chuàng)建請求，希望其中一個(gè)能捕獲到可以繞過 ACTOR_ID 過濾器的用戶 ID。它成功了，現(xiàn)在 Wiz 擁有了 AWS SDK for JavaScript 存儲庫的一個(gè)受信任的維護(hù)者 ID。

研究人員隨后準(zhǔn)備了一個(gè)看起來像是例行貢獻(xiàn)以修復(fù)真實(shí)問題的拉取請求。然而，在內(nèi)部，他們隱藏了有效載荷是一個(gè) NPM 包依賴項(xiàng)，旨在構(gòu)建環(huán)境中執(zhí)行并提取 GitHub 憑據(jù)。

“幾分鐘后，我們成功獲取了aws-sdk-js-v3 CodeBuild項(xiàng)目的GitHub憑證，”他們寫道。

他們提升了權(quán)限，創(chuàng)建了一個(gè)可以向主分支推送代碼、批準(zhǔn)拉取請求和提取倉庫機(jī)密的管理員，從而提供了“供應(yīng)鏈攻擊的明確路徑。”

攻擊者可以在最新版本發(fā)布之前將惡意代碼注入JavaScript SDK（這每周都會進(jìn)行），從而感染所有下游用戶。根據(jù)Wiz的說法，這種攻擊的影響“令人震驚?！边@家云安全公司表示，66%的云環(huán)境包含JavaScript SDK，其中一個(gè)用戶就是AWS控制臺。

研究人員還使用相同的方法獲得了“幾個(gè)”其他倉庫的完全管理員級別權(quán)限，包括他們認(rèn)為是AWS的JavaScript SDK私有鏡像的一個(gè)倉庫。

此時(shí)，意識到此次接管的“潛在影響”，Wiz將他們的研究交給了AWS。

根據(jù)阿夫拉哈米的說法，這種攻擊所需的技術(shù)專長“意外地低”。

他告訴《注冊》：“這種攻擊依賴于標(biāo)準(zhǔn)的開發(fā)者工作流程，比如分叉代碼庫和提交拉取請求，而不是復(fù)雜的漏洞。任何中級開發(fā)者都能做到。真正的挑戰(zhàn)是隱蔽性：要制作一個(gè)在別人檢查庫代碼時(shí)看起來足夠無害的有效載荷。”

此外，阿夫拉哈米補(bǔ)充道，這是一種對“尋求間諜活動的國家行為者和追求規(guī)模的網(wǎng)絡(luò)犯罪集團(tuán)”都有吸引力的攻擊方式?！耙坏┛刂屏诉@些代碼庫，他們就能在SDK中注入后門，從數(shù)百萬個(gè)應(yīng)用程序中收集憑證、提取敏感數(shù)據(jù)，或者直接針對AWS控制臺，在不被發(fā)現(xiàn)的情況下操縱云基礎(chǔ)設(shè)施。”?