Pular para o conteúdo principal

Problema de despejo de memória no AWS CodeBuild

ID do boletim: AWS-2025-016
Escopo: AWS
Tipo de conteúdo: Importante
Data de lançamento:25/07/2025 18h PDT

Descrição

O AWS CodeBuild é um serviço de integração contínua sob demanda totalmente gerenciado que compila o código-fonte, realiza testes e produz pacotes de software prontos para implantação.

Pesquisadores de segurança relataram um problema no CodeBuild que poderia ser aproveitado para modificações de código não aprovadas na ausência de controles de repositório e escopo de credenciais suficientes. Os pesquisadores demonstraram como um agente de ameaças poderia enviar um Pull Request (PR) que, se executado por meio de um processo automatizado de compilação do CodeBuild, poderia extrair o token de acesso do repositório de código-fonte (por exemplo, GitHub, BitBucket ou GitLab) por meio de um despejo de memória no ambiente de compilação do CodeBuild. Se o token de acesso tiver permissões de gravação, o agente da ameaça poderá enviar um código malicioso para o repositório. Esse problema está presente em todas as regiões do CodeBuild.

Durante nossa investigação, identificamos que essa técnica foi utilizada por um agente de ameaças que extraiu o token de acesso ao repositório de código-fonte para os repositórios do kit de ferramentas da AWS para Visual Studio Code e AWS SDK para .NET. Atribuímos o CVE-2025-8217 para isso. Consulte o Boletim de segurança da AWS (AWS-2025-015) para obter mais informações.

As credenciais do repositório de código-fonte são necessárias no CodeBuild para acessar o conteúdo do repositório, criar webhooks para compilações automatizadas e executar a compilação em seu nome. Se um remetente de PR tiver acesso às credenciais de repositório do CodeBuild, ele poderá conseguir permissões elevadas além do nível de acesso normal. Dependendo das permissões concedidas pelos clientes no CodeBuild, essas credenciais podem permitir privilégios elevados, como a criação de webhook, que o CodeBuild exige para se integrar aos repositórios de código-fonte e configurar compilações automatizadas ou confirmar o código no repositório.

Para determinar se esse problema foi aproveitado por um colaborador não confiável, recomendamos revisar os logs do git, por exemplo, os logs do GitHub, e procurar atividades anômalas das credenciais concedidas ao CodeBuild.

Atualizaremos este boletim se tivermos mais informações para compartilhar.

Resolução

O CodeBuild incluiu proteções adicionais contra despejos de memória em compilações de contêineres usando o modo não privilegiado. No entanto, como as compilações executam código confirmado pelos colaboradores no ambiente de compilação, eles têm acesso a tudo que o ambiente de compilação tenha acesso. Portanto, é altamente recomendável que os clientes não usem compilações automáticas de PR de colaboradores de repositórios não confiáveis. Para repositórios públicos que desejam continuar oferecendo suporte a compilações automáticas de colaborações não confiáveis, recomendamos o uso do atributo de executores auto-hospedados do GitHub Actions no CodeBuild, pois ele não é afetado por esse problema.

Para desabilitar as compilações automáticas de PR de colaboradores não confiáveis, adote qualquer uma das seguintes abordagens:

  1. Desabilite as compilações de webhook desmarcando “Rebuild every time a code change is pushed to this repository” no console do CodeBuild, ou
  2. Defina um filtro de eventos de webhook para não permitir compilações automáticas a partir de eventos de pull request, ou
  3. Defina um filtro de agente de webhook para permitir a criação de pull requests somente de usuários confiáveis

Se os clientes usarem o atributo de criação automática em PRs para colaboradores não confiáveis e as credenciais ou o token de acesso fornecidos ao ambiente do CodeBuild tiverem permissões de gravação, recomendamos o rodízio dessas credenciais. Em geral, recomendamos revisar as permissões de gravação e revogá-las, a menos que seja absolutamente necessário.

Referências

CVE-2025-8217
AWS-2025-015

Agradecimento

Gostaríamos de agradecer aos pesquisadores do Instituto de Engenharia da Informação da Academia Chinesa de Ciências por colaborarem nessa questão por meio do processo coordenado de divulgação de vulnerabilidades.

Envie um e-mail para aws-security@amazon.com com qualquer dúvida ou preocupação relacionada à segurança.