Überspringen zum Hauptinhalt

Speicherabbildproblem in AWS CodeBuild

Bulletin-ID: AWS-2025-016
Geltungsbereich: AWS
Inhaltstyp: Wichtig
Veröffentlichungsdatum: 25.07.2025, 18:00 PDT

Beschreibung

AWS CodeBuild ist ein vollständig verwalteter kontinuierlicher Integrationsservice „on-demand“, der Quellcode kompiliert, Tests durchführt und Softwarepakete erstellt, die bereit für die Bereitstellung sind.

Sicherheitsexperten haben ein Problem mit CodeBuild gemeldet, das bei fehlenden Repository-Kontrollen und unzureichenden Anmeldeinformationen für unerlaubte Codeänderungen ausgenutzt werden könnte. Die Experten demonstrierten, wie ein Bedrohungsakteur einen Pull Request (PR) abschicken kann, der, wenn er durch einen automatisierten CodeBuild-Build-Prozess ausgeführt wird, das Zugriffstoken für das Quellcode-Repository (z. B. GitHub, BitBucket oder GitLab) durch ein Speicherabbild innerhalb der CodeBuild-Build-Umgebung extrahieren kann. Falls das Zugriffstoken über Schreibberechtigungen verfügt, kann der Bedrohungsakteur bösartigen Code in das Repository einspeisen. Dieses Problem tritt für CodeBuild in allen Regionen auf.

Bei unserer Untersuchung haben wir festgestellt, dass diese Technik von einem Bedrohungsakteur genutzt wurde, der das Zugriffstoken für das Quellcode-Repository der Repositorys AWS Toolkit für Visual Studio Code und AWS SDK für .NET extrahierte. Wir haben CVE-2025-8217 diesem Problem zugeordnet. Weitere Informationen finden Sie im AWS Security Bulletin AWS-2025-015.

Die Anmeldeinformationen für das Quellcode-Repository werden in CodeBuild benötigt, um auf den Inhalt des Repository zuzugreifen, Webhooks für automatische Builds zu erstellen und den Build in Ihrem Namen auszuführen. Wenn ein PR-Submitter die Anmeldeinformationen für das CodeBuild-Repository erlangt, kann er über seine normale Zugriffsstufe hinausgehende Berechtigungen erhalten. Abhängig von den Berechtigungen, die Kunden in CodeBuild gewähren, können diese Anmeldeinformationen erweiterte Privilegien wie die Erstellung von Webhooks ermöglichen, die CodeBuild benötigt, um sich mit Quellcode-Repositories zu integrieren und automatische Builds einzurichten oder Code an das Repository zu übergeben.

Um festzustellen, ob dieses Problem von einem nicht vertrauenswürdigen Mitwirkenden ausgenutzt wurde, empfehlen wir, die Git-Protokolle, z. B. die GitHub-Protokolle, zu überprüfen und nach anomalen Aktivitäten der CodeBuild gewährten Anmeldeinformationen zu suchen.

Sobald wir weitere Informationen haben, aktualisieren wir dieses Bulletin.

Lösung

CodeBuild hat zusätzliche Schutzmaßnahmen gegen Speicherabbilder bei Container-Builds im unprivilegierten Modus integriert. Da Builds jedoch Code ausführen, der von Mitwirkenden in der Build-Umgebung übertragen wurde, haben sie Zugriff auf alles, worauf die Build-Umgebung Zugriff hat. Daher empfehlen wir unseren Kunden dringend, keine automatischen PR-Builds von nicht vertrauenswürdigen Repository-Mitwirkenden zu verwenden. Bei öffentlichen Repositorys, die weiterhin automatische Builds von nicht vertrauenswürdigen Beiträgen unterstützen möchten, empfehlen wir, das selbstgehostete Feature GitHub Actions runners in CodeBuild zu verwenden, da sie von diesem Problem nicht betroffen ist.

Gehen Sie wie folgt vor, um automatische PR-Builds von nicht vertrauenswürdigen Mitwirkenden zu deaktivieren:

  1. Deaktivieren Sie Webhook-Builds, indem Sie in der CodeBuild-Konsole die Option „Jedes Mal neu bauen, wenn eine Codeänderung in dieses Repository übertragen wird" deaktivieren, oder
  2. Richten Sie einen Webhook-Ereignisfilter ein, um automatische Builds aus Pull-Request-Ereignissen nicht zuzulassen, oder
  3. Richten Sie einen Webhook-Akteur-Filter ein, um Pull-Requests nur von vertrauenswürdigen Benutzern zuzulassen

Wenn Kunden das automatische Build-Feature für PRs für nicht vertrauenswürdige Mitwirkende verwenden und die Anmeldedaten oder das Zugriffstoken für die CodeBuild-Umgebung Schreibberechtigungen haben, empfehlen wir, diese Anmeldeinformationen zu rotieren. Im Allgemeinen empfehlen wir, die Schreibberechtigungen zu überprüfen und sie zu widerrufen, sofern dies nicht unbedingt erforderlich ist.

Referenzen

CVE-2025-8217
AWS-2025-015

Danksagung:

Wir möchten uns bei den Experten des Institute of Information Engineering, Chinese Academy of Sciences, für die Zusammenarbeit bei diesem Thema im Rahmen des koordinierten Verfahrens zur Offenlegung von Sicherheitslücken bedanken.

Bei Sicherheitsfragen oder -bedenken wenden Sie sich bitte per E-Mail an aws-security@amazon.com.