Sventato un nuovo SolarWinds! Il bug su AWS CodeBuild non ha permesso un attacco globale

I ricercatori di sicurezza di Wiz hanno scoperto una vulnerabilità critica nel servizio AWS CodeBuild che potrebbe consentire a un aggressore di assumere il controllo completo dei repository GitHub di Amazon e potenzialmente compromettere gli ambienti cloud dei clienti in tutto il mondo.

La vulnerabilità, denominata CodeBreach, è stata rivelata da Amazon lo scorso agosto e corretta a settembre, prima che potesse essere sfruttata. I ricercatori affermano che questo ha impedito un attacco alla supply chain che avrebbe potuto superare il famigerato incidente di SolarWinds.

“Questa vulnerabilità ha compromesso una libreria di chiavi utilizzata nella console AWS, il sistema nervoso centrale del cloud”, ha dichiarato a The Register Yuval Avrahami, ricercatore di Wiz. Avrahami ha sottolineato che se l’attacco a SolarWinds avesse consentito agli aggressori di accedere alle reti aziendali, questa falla avrebbe potuto consentire l’esecuzione di codice direttamente all’interno dell’interfaccia tramite la quale gli amministratori gestiscono l’intera infrastruttura.

La causa della vulnerabilità si è rivelata, la quale era molto semplice: mancavano due caratteri nei filtri webhook. CodeBuild è il servizio di integrazione continua gestito di Amazon che si connette frequentemente ai repository GitHub. Vengono utilizzati filtri speciali per proteggere dalle pull request non attendibili e uno di questi, ACTOR_ID, consente di creare un elenco di utenti GitHub approvati e autorizzati a eseguire build.

Il problema era che l’espressione regolare per questo filtro non era “ancorata“, ovvero mancava l’inizio e la fine della stringa. Senza di essi, il sistema non richiedeva una corrispondenza esatta dell’ID, ma cercava solo una sottostringa. Ciò significava che qualsiasi utente GitHub con un ID contenente l’ID di un responsabile approvato poteva aggirare la protezione.

I ricercatori di Wiz hanno trovato un modo per registrare l’ID richiesto tramite la funzionalità GitHub Apps, automatizzando la creazione di duecento richieste di registrazione di applicazioni. Una di queste ha avuto esito positivo, consentendo loro di ottenere l’ID attendibile del responsabile della manutenzione del repository AWS SDK per JavaScript.

Hanno quindi preparato una richiesta di pull che sembrava una semplice soluzione a un problema reale. Tuttavia, al suo interno si nascondeva un payload: una dipendenza del pacchetto NPM progettata per estrarre le credenziali GitHub dall’ambiente di build. In pochi istanti, i ricercatori hanno ottenuto l’accesso completo al repository e sono stati in grado di creare un amministratore con i permessi per pubblicare codice sul branch master e approvare le richieste di pull.

La potenziale portata dell’attacco è impressionante: secondo Wiz, l’SDK JavaScript di Amazon è utilizzato nel 66% degli ambienti cloud e uno dei suoi utenti è la console AWS stessa. Un aggressore potrebbe iniettare codice dannoso nell’SDK poco prima del rilascio settimanale, infettando tutti gli utenti della libreria.

Secondo Avrahami, per realizzare un attacco del genere non erano richieste competenze tecniche particolari: il livello di uno sviluppatore medio sarebbe stato sufficiente. La vera sfida consisteva nel mascherare il codice dannoso come se fosse innocuo.

Amazon ha dichiarato che la vulnerabilità non ha interessato nessuno degli ambienti o servizi dei suoi clienti. Il gigante del cloud ha risolto il problema entro 48 ore dalla segnalazione iniziale, ha controllato tutti gli ambienti di build pubblici e ha esaminato i log, confermando che nessuno, a parte i ricercatori di Wiz, aveva sfruttato la falla. L’azienda ha anche pubblicato un bollettino di sicurezza relativo all’incidente.

Tuttavia, Avrahami avverte che questa minaccia non riguarda solo AWS. Questa vulnerabilità sfrutta un punto cieco nella sicurezza delle pipeline CI/CD e tutti i principali provider cloud e aziende tecnologiche che utilizzano GitHub Actions, Jenkins o altri sistemi di integrazione continua corrono un rischio simile.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Agostino Pellegrino

E’ un libero professionista, insegnante e perito di informatica Forense, Cyber Security ed Ethical Hacking e Network Management. Ha collaborato con importanti istituti di formazione a livello internazionale e ha esercitato teaching e tutorship in tecniche avanzate di Offensive Security per la NATO ottenendo importanti riconoscimenti dal Governo degli Stati Uniti. Il suo motto è “Studio. Sempre”.

Aree di competenza: Cybersecurity architecture, Threat intelligence, Digital forensics, Offensive security, Incident response & SOAR, Malware analysis, Compliance & frameworks