U značajnom otkriću za sigurnost u oblaku, istraživači iz kompanije Wiz detaljno su opisali kritičnu ranjivost pod nazivom CodeBreach. Ovaj propust mogao je omogućiti neovlaštenim akterima da preuzmu kontrolu nad core repozitorijima kompanije Amazon Web Services (AWS), potencijalno pokrećući masovni napad na lanac snabdijevanja protiv miliona korisnika širom svijeta.
Ranjivost: Previdi u Regex-u
Suština problema ležala je u suptilnoj pogrešnoj konfiguraciji unutar AWS CodeBuild CI/CD pipeline-a Istraživači Yuval Avrahami i Nir Ohfeld otkrili su da su određenim internim GitHub repozitorijima koje koristi AWS nedostajale ispravne validacije u njihovim okidačima za izgradnju (build triggers). Konkretno, filteri regularnih izraza (Regex) koji se koriste za provjeru “pouzdanih” ID-ova računa nisu imali dva vitalna karaktera: početni (^) i završni ($) sidreni znak.
Bez ovih sidrenih znakova, filter je samo provjeravao da li se određeni ID pojavljuje unutar niza, umjesto da osigura tačno podudaranje. Strateškom registracijom stotina bot naloga, istraživači su uspjeli “brute-force” metodom dobiti predvidljivi GitHub ID aktera koji je zadovoljio ovaj labavi filter.
Potencijalni opseg štete
Nakon što bi se zaobišao filter, napadač je mogao dobiti administrativni pristup veoma osjetljivim resursima. Potencijalne posljedice bile su ozbiljne:
- Preuzimanje AWS JavaScript SDK-a: Napadač je mogao ubaciti zlonamjerne “stražnje ulaze” (backdoors) u SDK, koji se sedmično preuzima milionima puta.
- Manipulacija konzolom: S obzirom na to da se AWS Management Console oslanja na ove SDK-ove, kompromitacija je mogla omogućiti napadačima da direktno manipulišu cloud infrastrukturom bilo kojeg korisnika.
- Krađa credentials-a: Zlonamjerni kod je mogao biti korišten za prikupljanje akreditiva visokog nivoa i izvlačenje osjetljivih podataka iz produkcionih okruženja.
Odgovor AWS-a i rješenje
Istraživači kompanije Wiz slijedili su proces odgovornog otkrivanja, upozorivši AWS u augustu 2025. godine. Amazon je reagovao brzo, otklonivši problem do septembra 2025.
Ključne implementirane mjere sigurnosti uključuju:
- Ispravka Regex-a: Popravljanje filtera kako bi zahtijevali tačno podudaranje ID-ova.
- Sigurnosne kapije (Build Gates): Uvođenje “Pull Request Comment Approval” kapije kako bi se spriječile nepouzdane izgradnje koda.
- Revizija i rotacija: AWS je izvršio opsežne revizije i rotacije akreditiva u svim svojim upravljanim open-source repozitorijima.
Na sreću, nema dokaza da su zlonamjerni akteri ikada iskoristili ovu ranjivost prije nego što je zakrpljena.
Komentari