メインコンテンツに移動

AWS CodeBuild のメモリダンプの問題

速報 ID: AWS-2025-016
対象範囲: AWS
コンテンツタイプ: 重要
リリース日: 2025 年 7 月 25 日 午後 6 時 (PDT)

説明

AWS CodeBuild は、ソースコードをコンパイルし、テストを実行し、すぐにデプロイできるソフトウェアパッケージを作成する、フルマネージドかつオンデマンドの継続的インテグレーション (CI) サービスです。

複数のセキュリティ研究者から、十分なリポジトリコントロールと認証情報のスコープ設定がない場合、承認されていないコード変更に悪用される可能性があるという CodeBuild の問題が報告されました。これらの研究者らは、脅威アクターがどのようにプルリクエスト (PR) を送信できるのかを実証しました。この PR が自動化された CodeBuild ビルドプロセスを通じて実行されると、CodeBuild ビルド環境内のメモリダンプを通じてソースコードリポジトリ (GitHub、BitBucket、GitLab など) のアクセストークンを抽出できます。アクセストークンに書き込み許可がある場合、脅威アクターは、悪意のあるコードをリポジトリにコミットできます。この問題は、CodeBuild が提供されているすべてのリージョンで発生しています。

当社は、調査中に、この手法が AWS Toolkit for Visual Studio Code および AWS SDK for .NET リポジトリのソースコードリポジトリアクセストークンを抽出した脅威アクターによって用いられていることを突き止めました。この件には CVE-2025-8217 を割り当てました。詳細については、AWS セキュリティ速報 AWS-2025-015 を参照してください。

CodeBuild では、リポジトリコンテンツへのアクセス、自動ビルドを目的とした Webhook の作成、ユーザーの代理でのビルドの実行にソースコードリポジトリの認証情報が必要です。PR の送信者が CodeBuild のリポジトリ認証情報を入手した場合、自らの通常のアクセスレベルを超える昇格された許可を取得できます。お客様が CodeBuild で付与する許可によっては、これらの認証情報により、Webhook の作成などの昇格された特権が許可される可能性があります。これは、CodeBuild がソースコードリポジトリとの統合、自動ビルドの設定、またはリポジトリへのコードのコミットに必要とする特権です。

この問題が信頼されていないコントリビューターによって悪用されたかどうかを判断するには、GitHub ログなどの git ログで、CodeBuild に付与された認証情報の異常なアクティビティがないかどうか確認することをお勧めします。

この速報は、共有すべき追加情報がある場合に更新されます。

解決方法

CodeBuild には、非特権モードを使用したコンテナビルド内におけるメモリダンプに対する追加の保護機能が組み込まれています。ただし、ビルドはビルド環境でコントリビューターによってコミットされたコードを実行するため、ビルド環境がアクセスできるすべてのものにアクセスできます。したがって、信頼されていないリポジトリコントリビューターからの自動 PR ビルドを使用しないことを強くお勧めします。信頼されていないコントリビューションの自動ビルドをパブリックリポジトリで引き続きサポートする場合、この問題の影響を受けない CodeBuild のセルフホスト型 GitHub Actions ランナー機能を使用することをお勧めします。

信頼されていないコントリビューターからの PR の自動ビルドを無効にするには、次のいずれかの方法を実行してください。

  1. CodeBuild コンソールで [コードの変更がこのレポジトリにプッシュされるたびに再構築する] のチェックをオフにして、Webhook ビルドを無効にする
  2. プルリクエストイベントからの自動ビルドを許可しないよう Webhook イベントフィルターを設定する
  3. 信頼されているユーザーからのプルリクエストビルドのみを許可するよう Webhook アクターフィルターを設定する

お客様が信頼されていないコントリビューターの PR で自動ビルド機能を使用し、CodeBuild 環境に提供された認証情報またはアクセストークンに書き込み許可が付与されている場合は、これらの認証情報をローテーションすることをお勧めします。一般的には、書き込み許可を確認し、絶対に必要な場合を除いてそれらの許可を取り消すことをお勧めします。

参考情報

CVE-2025-8217
AWS-2025-015

謝辞

協調的脆弱性開示プロセスを通じてこの問題に協力してくださった Institute of Information Engineering, Chinese Academy of Sciences の研究者の方々に感謝いたします。

セキュリティに関する質問や懸念がある場合は、aws-security@amazon.com まで E メールでお問い合わせください。