Saltar al contenido principal

Problema de volcado de memoria en AWS CodeBuild

ID de boletín: AWS-2025-016
Alcance: AWS
Tipo de contenido: importante
Fecha de lanzamiento: 25/07/2025 18:00 PDT

Descripción

AWS CodeBuild es un servicio de integración continua bajo demanda completamente administrado que compila código fuente, ejecuta pruebas y produce paquetes de software listos para su implementación.

Los investigadores de seguridad informaron de un problema de CodeBuild que podría aprovecharse para modificar código no aprobado si no se cuenta con suficientes controles de repositorio y alcance de credenciales. Los investigadores demostraron cómo un actor de amenazas podía enviar una solicitud de incorporación de cambios (PR) que, si se ejecutaba mediante un proceso de creación automatizado de CodeBuild, podía extraer el token de acceso al repositorio de código fuente (por ejemplo, GitHub, BitBucket o GitLab) mediante un volcado de memoria dentro del entorno de creación de CodeBuild. Si el token de acceso tiene permisos de escritura, el autor de la amenaza podría enviar código malintencionado al repositorio. Este problema está presente en todas las regiones de CodeBuild.

Durante nuestra investigación, identificamos que esta técnica la utilizó un agente de amenazas que extrajo el token de acceso al repositorio de código fuente para los repositorios del Kit de herramientas de AWS para Visual Studio Code y AWS SDK para .NET. Para ello hemos asignado CVE-2025-8217. Consulte el boletín de seguridad de AWS AWS-2025-015 para obtener información adicional.

Las credenciales del repositorio de código fuente son necesarias en CodeBuild para acceder al contenido del repositorio, crear webhooks para compilaciones automatizadas y ejecutar la compilación en su nombre. Si un remitente de PR obtiene las credenciales del repositorio de CodeBuild, podría obtener permisos superiores a su nivel de acceso normal. Según los permisos que los clientes concedan en CodeBuild, estas credenciales pueden permitir privilegios elevados, como la creación de webhooks, que CodeBuild requiere para integrarse con los repositorios de código fuente y configurar compilaciones automatizadas, o para enviar código al repositorio.

Para determinar si un colaborador que no es de confianza ha aprovechado este problema, le recomendamos revisar los registros de git, por ejemplo, los de GitHub, y buscar actividad anómala en las credenciales concedidas a CodeBuild.

Actualizaremos este boletín si tenemos información adicional que compartir.

Resolución

CodeBuild ha incluido protecciones adicionales contra el volcado de memoria en las compilaciones de contenedores que utilizan el modo sin privilegios. Sin embargo, dado que las compilaciones ejecutan código comprometido por los colaboradores en el entorno de compilación, tienen acceso a cualquier cosa a la que tenga acceso el entorno de compilación. Por lo tanto, recomendamos encarecidamente a los clientes que no utilicen compilaciones de PR automáticas de colaboradores de repositorios que no sean de confianza. Para los repositorios públicos que desean seguir admitiendo compilaciones automáticas de contribuciones que no son de confianza, le recomendamos usar la característica de ejecutores de GitHub Actions autohospedados en CodeBuild, ya que no se ve afectada por este problema.

Para deshabilitar las compilaciones automáticas de PR de colaboradores que no son de confianza, siga cualquiera de los siguientes métodos:

  1. Deshabilite las compilaciones de webhooks desmarcando la opción “Reconstruir cada vez que se envíe un cambio de código a este repositorio” en la consola de CodeBuild, o
  2. Establezca un filtro de eventos de webhook para no permitir compilaciones automáticas a partir de eventos de solicitud de extracción, o
  3. Establezca un filtro de actores de webhook para permitir que las solicitudes de extracción se compilen únicamente por parte de usuarios de confianza

Si los clientes utilizan la característica de creación automática en las PR para colaboradores que no son de confianza y las credenciales o el token de acceso proporcionados al entorno de CodeBuild tienen permisos de escritura, recomendamos rotar esas credenciales. En general, recomendamos revisar los permisos de escritura y revocarlos a menos que sea absolutamente necesario.

Referencias

CVE-2025-8217
AWS-2025-015

Reconocimiento

Nos gustaría dar las gracias a los investigadores del Instituto de Ingeniería de la Información de la Academia China de Ciencias por colaborar en este tema a través del proceso coordinado de divulgación de vulnerabilidades.

Si tiene alguna pregunta o duda sobre seguridad, envíe un correo electrónico a aws-security@amazon.com.