AWS CodeBuild의 메모리 덤프 문제
공지 ID: AWS-2025-016
범위: AWS
콘텐츠 유형: 중요
릴리스 날짜: 2025년 7월 25일 오후 6시(태평양 표준시)
설명
AWS CodeBuild는 소스 코드를 컴파일하는 단계부터 테스트 실행 후 소프트웨어 패키지를 개발하여 배포하는 단계까지 마칠 수 있는 완전관리형의 온디맨드 지속적 통합 서비스입니다.
보안 연구원들은 리포지토리 통제와 자격 증명 범위 지정이 충분히 이루어지지 않을 경우 승인되지 않은 코드 수정에 악용될 수 있는 CodeBuild 문제가 있다고 보고했습니다. 연구원들은 위협 행위자가 풀 요청(PR)을 제출한 뒤, 자동화된 CodeBuild 빌드 프로세스를 통해 해당 PR이 실행될 경우, CodeBuild 빌드 환경 내 메모리 덤프를 이용해 소스 코드 리포지토리(GitHub, BitBucket, GitLab 등)의 액세스 토큰을 추출할 수 있는 방법을 시연했습니다. 액세스 토큰에 쓰기 권한이 있는 경우 위협 행위자가 리포지토리에 악성 코드를 커밋할 수 있습니다. 이 문제는 모든 리전의 CodeBuild에 존재합니다.
조사 과정에서 AWS Toolkit for Visual Studio Code 및 AWS SDK for .NET 리포지토리의 소스 코드 리포지토리 액세스 토큰을 추출한 위협 행위자가 이 기법을 악용했다는 사실을 확인했습니다. 이 문제에 CVE-2025-8217이 할당되었습니다. 자세한 내용은 AWS 보안 공지 AWS-2025-015를 참조하세요.
CodeBuild에서 리포지토리 콘텐츠에 액세스하고, 자동화된 빌드의 웹후크를 생성하고, 사용자를 대신하여 빌드를 실행하려면 소스 코드 리포지토리 자격 증명이 필요합니다. PR 제출자가 CodeBuild의 리포지토리 자격 증명을 획득하면 일반 액세스 수준 이상으로 높은 권한을 얻을 수 있습니다. 고객이 CodeBuild에서 부여한 권한에 따라 이러한 자격 증명은 CodeBuild에서 소스 코드 리포지토리와 통합하고 자동화된 빌드를 설정하거나 리포지토리에 코드를 커밋하는 데 필요한 웹후크의 생성과 같은 상위 권한을 허용할 수 있습니다.
신뢰할 수 없는 기여자가 이 문제를 악용했는지 확인하려면 git 로그(예: GitHub 로그)를 검토하고 CodeBuild에 부여된 자격 증명의 비정상적인 활동을 조사해보는 것이 좋습니다.
공유할 추가 정보가 있는 경우 이 공지를 업데이트하겠습니다.
해결 방법
CodeBuild에는 권한 없는 모드를 사용하는 컨테이너 빌드 내 메모리 덤프에 대한 추가 보호 기능이 포함되어 있습니다. 하지만 빌드는 빌드 환경에서 기여자가 커밋한 코드를 실행하므로, 기여자는 빌드 환경에서 액세스 가능한 모든 항목에 액세스할 수 있습니다. 따라서 고객은 신뢰할 수 없는 리포지토리 기여자의 자동 PR 빌드를 사용하지 않는 것이 좋습니다. 퍼블릭 리포지토리에서 신뢰할 수 없는 기여의 자동 빌드를 계속 지원하려는 경우, 이 문제의 영향을 받지 않는 CodeBuild의 자체 호스팅 GitHub Actions 러너 기능을 사용하는 것이 좋습니다.
신뢰할 수 없는 기여자의 자동 PR 빌드를 비활성화하려면 다음 방법 중 하나를 사용하세요.
- CodeBuild 콘솔에서 ‘이 리포지토리에 코드 변경 사항이 푸시될 때마다 다시 빌드’를 선택 취소하여 웹후크 빌드를 비활성화
- 풀 요청 이벤트에서 자동 빌드를 허용하지 않도록 웹후크 이벤트 필터를 설정
- 신뢰할 수 있는 사용자의 풀 요청 빌드를 허용하도록 웹후크 액터 필터를 설정
고객이 신뢰할 수 없는 기여자의 PR에 대해 자동 빌드 기능을 사용하는데 CodeBuild 환경에 제공된 자격 증명 또는 액세스 토큰에 쓰기 권한이 있는 경우, 해당 자격 증명을 교체하는 것이 좋습니다. 일반적으로 쓰기 권한을 검토하고 꼭 필요한 경우가 아니면 취소하는 것이 좋습니다.
참고 사항
도움을 주신 분
조율된 취약성 공개 프로세스를 통해 이 문제와 관련해 협력해 주신 중국 과학원 정보 공학 연구소의 연구원 여러분께 감사드립니다.
보안 관련 질문이나 우려 사항이 있는 경우 이메일(aws-security@amazon.com)을 통해 문의하세요.