Amazon resuelve fallo que amenazó el 66% de la infraestructura en la nube
TL;DR
Una falla crítica en el servicio <strong>CodeBuild</strong> de Amazon Web Services (<strong>AWS</strong>) presentó riesgo para el 66% de los entornos de computación en la nube a nivel mundial. Identificada por la empresa de seguridad <strong>Wiz</strong> y llamada <strong>CodeBreach</strong>, la vulnerabilidad fue corregida en septiembre de 2024, antes de que pudieran ocurrir acciones maliciosas.
Una falla crítica en el servicio CodeBuild de Amazon Web Services (AWS) presentó riesgo para el 66% de los entornos de computación en la nube a nivel mundial. Identificada por la empresa de seguridad Wiz y llamada CodeBreach, la vulnerabilidad fue corregida en septiembre de 2024, antes de que pudieran ocurrir acciones maliciosas.
La vulnerabilidad tenía su origen en expresiones regulares utilizadas para validar IDs de usuarios en CodeBuild. La ausencia de los caracteres especiales ^ (inicio) y $ (fin) permitió que IDs indebidos fueran aceptados, potenciando un ataque a la cadena de suministro.
Cómo se identificó la vulnerabilidad
El equipo de Wiz investigó el pipeline de integración continua de AWS tras percatarse de un ataque a la extensión Amazon Q para VS Code. Durante el análisis, descubrieron que el filtro de control de acceso de CodeBuild estaba mal configurado.
El filtro denominado ACTOR_ID funcionaba con una lista de permisos que no era lo suficientemente restrictiva debido a fallas en las expresiones regulares. Esto permitió que cualquier ID que contuviera un ID confiable pasara la verificación de seguridad.
Facilidad de explotación
El equipo demostró la facilidad de explotación de la falla, creando 200 aplicaciones automatizadas en GitHub, generando IDs secuenciales. Así, rápidamente, se identificó un ID malicioso que logró pasar los filtros de seguridad.
Los investigadores entonces propusieron un commit aparentemente legítimo con un código escondido para robar credenciales de GitHub durante la compilación, lo que podría haber tenido resultados desastrosos.
La extensión del riesgo
La falla afectó repositorios importantes de AWS, siendo el más crítico el AWS SDK for JavaScript, utilizado en el 66% de los entornos en la nube. Sus problemas habrían tenido consecuencias graves, especialmente por su presencia en el console de gestión de AWS.
Comparación con incidentes anteriores
El impacto potencial fue comparado con el ataque de SolarWinds de 2020 que comprometió a cerca de 18,000 clientes. En este contexto, la posibilidad de un ataque similar a la cadena de suministro de AWS levantó preocupaciones significativas, ya que podría dar acceso directo a información sensible y sistemas críticos.
Escenario hipotético de ataque
Si los criminales hubieran descubierto la vulnerabilidad, podrían haber creado varias aplicaciones hasta obtener un ID malicioso, pasando por verificaciones de seguridad e insertando código malicioso en un pull request. El compromiso del SDK podría haber resultado en la instalación de un backdoor, con consecuencias severas para millones de aplicaciones.
Resolución rápida de AWS
Tras la notificación de Wiz en agosto de 2024, AWS corrigió la falla en 48 horas, ajustando las expresiones regulares para incluir los anclajes necesarios. Auditorías aseguraron que no hubo explotación por otros agentes, y se implementaron medidas adicionales de seguridad para prevenir futuros incidentes.
Un análisis minucioso de los logs de CloudTrail volvió a dar la certeza de que la seguridad de los sistemas fue restaurada y nuevos métodos de protección fueron implementados en los procesos de build.
Contenido seleccionado y editado con asistencia de IA. Fuentes originales referenciadas arriba.
