Passa al contenuto principale

Problema di dump di memoria in AWS CodeBuild

ID Bollettino: AWS-2025-016
Ambito: AWS
Tipo di contenuto: Importante
Data di rilascio: 25/07/2025 18:00 PDT

Descrizione

AWS CodeBuild è un servizio di integrazione continua on demand completamente gestito che permette di compilare codice sorgente, eseguire test e preparare pacchetti software pronti per essere implementati.

I ricercatori di sicurezza hanno individuato una vulnerabilità in CodeBuild che, senza adeguati controlli sui repository e un corretto scoping delle credenziali, può consentire modifiche non autorizzate al codice. Hanno dimostrato che un aggressore può inviare una richiesta pull (PR) che, se eseguita da una build automatizzata di CodeBuild, recupera il token di accesso del repository (ad esempio GitHub, Bitbucket o GitLab) tramite un dump di memoria nell'ambiente di build. Se il token di accesso dispone delle autorizzazioni di scrittura, l'autore della minaccia potrebbe inviare codice dannoso al repository. Questo problema è presente in tutte le regioni di CodeBuild.

Durante la nostra indagine, abbiamo scoperto che questa tecnica è stata sfruttata da un aggressore che ha estratto il token di accesso al repository del codice sorgente per i repository di Kit di strumenti AWS per Visual Studio Code e AWS SDK per .NET. A tale scopo abbiamo assegnato il codice CVE-2025-8217, consulta il bollettino sulla sicurezza di AWS AWS-2025-015 per ulteriori informazioni.

Le credenziali del repository del codice sorgente sono richieste in CodeBuild per accedere ai contenuti del repository, creare webhook per build automatizzate ed eseguire la build per tuo conto. Se l'autore di una PR ottenesse le credenziali del repository di CodeBuild, potrebbe acquisire privilegi elevati superiori al proprio normale livello di accesso. A seconda delle autorizzazioni concesse dai clienti in CodeBuild, queste credenziali potrebbero consentire privilegi elevati come la creazione di webhook, che CodeBuild richiede per integrare con i repository del codice sorgente e impostare build automatiche o inviare il codice al repository.

Per determinare se questo problema sia stato sfruttato da un contributore non attendibile, consigliamo di esaminare i log di git, ad esempio quelli di GitHub, e cercare attività anomale relative alle credenziali assegnate a CodeBuild.

Aggiorneremo questo bollettino se avremo ulteriori informazioni da condividere.

Risoluzione

CodeBuild ha introdotto protezioni aggiuntive contro i dump di memoria nelle build dei container che utilizzano la modalità senza privilegi. Tuttavia, poiché durante la build il codice dei contributori viene eseguito nell'ambiente di compilazione, quel codice eredita l'accesso a tutte le risorse a cui ha accesso lo stesso ambiente. Pertanto, sconsigliamo vivamente ai clienti di utilizzare build automatiche di PR provenienti da contributori del repository non attendibili. Per i repository pubblici che desiderano continuare a supportare le build automatiche di contributi non attendibili, consigliamo di utilizzare la funzionalità funzionalità GitHub Actions runners self-hosted in CodeBuild poiché non è interessata da questo problema.

Per disattivare le build automatiche di PR da contributori non attendibili, adotta uno dei seguenti approcci:

  1. Disabilita le build via webhook deselezionando “Ricompila ogni volta che una modifica del codice viene inviata a questo repository” nella console di CodeBuild, oppure
  2. Imposta un filtro eventi webhook per non consentire le build automatiche da eventi di PR, oppure
  3. Imposta un filtro webhook actor per consentire la compilazione di PR solo da utenti affidabili

Se i clienti utilizzano la funzionalità di compilazione automatica su PR per collaboratori non attendibili e le credenziali o il token di accesso forniti all'ambiente CodeBuild dispongono di autorizzazioni di scrittura, consigliamo di ruotare tali credenziali. In generale, consigliamo di rivedere le autorizzazioni di scrittura e di revocarle a meno che non sia assolutamente necessario.

Riferimenti

CVE-2025-8217
AWS-2025-015

Ringraziamenti

Vorremmo ringraziare i ricercatori dell'Institute of Information Engineering, Chinese Academy of Sciences per aver collaborato alla risoluzione di questo problema attraverso il processo di divulgazione coordinata delle vulnerabilità.

Inviare un'e-mail ad aws-security@amazon.com per eventuali domande o dubbi sulla sicurezza.