Sventato un nuovo SolarWinds! Il bug su AWS CodeBuild non ha permesso un attacco globale

I ricercatori di sicurezza di Wiz hanno scoperto una vulnerabilità critica nel servizio AWS CodeBuild che potrebbe consentire a un aggressore di assumere il controllo completo dei repository GitHub di Amazon e potenzialmente compromettere gli ambienti cloud dei clienti in tutto il mondo.

La vulnerabilità, denominata CodeBreach, è stata rivelata da Amazon lo scorso agosto e corretta a settembre, prima che potesse essere sfruttata. I ricercatori affermano che questo ha impedito un attacco alla supply chain che avrebbe potuto superare il famigerato incidente di SolarWinds.

“Questa vulnerabilità ha compromesso una libreria di chiavi utilizzata nella console AWS, il sistema nervoso centrale del cloud”, ha dichiarato a The Register Yuval Avrahami, ricercatore di Wiz. Avrahami ha sottolineato che se l’attacco a SolarWinds avesse consentito agli aggressori di accedere alle reti aziendali, questa falla avrebbe potuto consentire l’esecuzione di codice direttamente all’interno dell’interfaccia tramite la quale gli amministratori gestiscono l’intera infrastruttura.

Avvio delle iscrizioni al corso Cyber Offensive Fundamentals Vuoi smettere di guardare tutorial e iniziare a capire davvero come funziona la sicurezza informatica? La base della sicurezza informatica, al di là di norme e tecnologie, ha sempre un unico obiettivo: fermare gli attacchi dei criminali informatici. Pertanto "Pensa come un attaccante, agisci come un difensore". Ti porteremo nel mondo dell'ethical hacking e del penetration test come nessuno ha mai fatto prima. Per informazioni potete accedere alla pagina del corso oppure contattarci tramite WhatsApp al numero 379 163 8765 oppure scrivendoci alla casella di posta [email protected]. Supporta Red Hot Cyber attraverso:  L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

La causa della vulnerabilità si è rivelata, la quale era molto semplice: mancavano due caratteri nei filtri webhook. CodeBuild è il servizio di integrazione continua gestito di Amazon che si connette frequentemente ai repository GitHub. Vengono utilizzati filtri speciali per proteggere dalle pull request non attendibili e uno di questi, ACTOR_ID, consente di creare un elenco di utenti GitHub approvati e autorizzati a eseguire build.

Il problema era che l’espressione regolare per questo filtro non era “ancorata“, ovvero mancava l’inizio e la fine della stringa. Senza di essi, il sistema non richiedeva una corrispondenza esatta dell’ID, ma cercava solo una sottostringa. Ciò significava che qualsiasi utente GitHub con un ID contenente l’ID di un responsabile approvato poteva aggirare la protezione.

I ricercatori di Wiz hanno trovato un modo per registrare l’ID richiesto tramite la funzionalità GitHub Apps, automatizzando la creazione di duecento richieste di registrazione di applicazioni. Una di queste ha avuto esito positivo, consentendo loro di ottenere l’ID attendibile del responsabile della manutenzione del repository AWS SDK per JavaScript.

Hanno quindi preparato una richiesta di pull che sembrava una semplice soluzione a un problema reale. Tuttavia, al suo interno si nascondeva un payload: una dipendenza del pacchetto NPM progettata per estrarre le credenziali GitHub dall’ambiente di build. In pochi istanti, i ricercatori hanno ottenuto l’accesso completo al repository e sono stati in grado di creare un amministratore con i permessi per pubblicare codice sul branch master e approvare le richieste di pull.

La potenziale portata dell’attacco è impressionante: secondo Wiz, l’SDK JavaScript di Amazon è utilizzato nel 66% degli ambienti cloud e uno dei suoi utenti è la console AWS stessa. Un aggressore potrebbe iniettare codice dannoso nell’SDK poco prima del rilascio settimanale, infettando tutti gli utenti della libreria.

Secondo Avrahami, per realizzare un attacco del genere non erano richieste competenze tecniche particolari: il livello di uno sviluppatore medio sarebbe stato sufficiente. La vera sfida consisteva nel mascherare il codice dannoso come se fosse innocuo.

Amazon ha dichiarato che la vulnerabilità non ha interessato nessuno degli ambienti o servizi dei suoi clienti. Il gigante del cloud ha risolto il problema entro 48 ore dalla segnalazione iniziale, ha controllato tutti gli ambienti di build pubblici e ha esaminato i log, confermando che nessuno, a parte i ricercatori di Wiz, aveva sfruttato la falla. L’azienda ha anche pubblicato un bollettino di sicurezza relativo all’incidente.

Tuttavia, Avrahami avverte che questa minaccia non riguarda solo AWS. Questa vulnerabilità sfrutta un punto cieco nella sicurezza delle pipeline CI/CD e tutti i principali provider cloud e aziende tecnologiche che utilizzano GitHub Actions, Jenkins o altri sistemi di integrazione continua corrono un rischio simile.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Redazione

La redazione di Red Hot Cyber è composta da professionisti del settore IT e della sicurezza informatica, affiancati da una rete di fonti qualificate che operano anche in forma riservata. Il team lavora quotidianamente nell’analisi, verifica e pubblicazione di notizie, approfondimenti e segnalazioni su cybersecurity, tecnologia e minacce digitali, con particolare attenzione all’accuratezza delle informazioni e alla tutela delle fonti. Le informazioni pubblicate derivano da attività di ricerca diretta, esperienza sul campo e contributi provenienti da contesti operativi nazionali e internazionali.