Amazon résout une faille qui a menacé 66% de l'infrastructure cloud
TL;DR
Une faille critique dans le service <strong>CodeBuild</strong> d'Amazon Web Services (<strong>AWS</strong>) a présenté un risque pour 66% des environnements de cloud computing à l'échelle mondiale.
Une faille critique dans le service CodeBuild d'Amazon Web Services (AWS) a présenté un risque pour 66% des environnements de cloud computing à l'échelle mondiale. Identifiée par la société de sécurité Wiz et appelée CodeBreach, la vulnérabilité a été corrigée en septembre 2024, avant que des actions malveillantes ne puissent se produire.
La vulnérabilité provenait d'expressions régulières utilisées pour valider les ID utilisateurs dans CodeBuild. L'absence des caractères spéciaux ^ (début) et $ (fin) a permis que des ID indésirables soient acceptés, rendant possible une attaque à la chaîne d'approvisionnement.
Comment la vulnérabilité a été identifiée
L'équipe de Wiz a examiné le pipeline d'intégration continue d'AWS après avoir remarqué une attaque sur l'extension Amazon Q pour VS Code. Au cours de l'analyse, ils ont découvert que le filtre de contrôle d'accès de CodeBuild était mal configuré.
Le filtre appelé ACTOR_ID fonctionnait avec une liste de permissions qui n'était pas suffisamment restrictive en raison d'échecs dans les expressions régulières. Cela a permis à tout ID contenant un ID fiable de passer la vérification de sécurité.
Facilité d'exploitation
L'équipe a démontré la facilité d'exploitation de la faille en créant 200 applications automatisées sur GitHub, générant des ID séquentiels. Ainsi, un ID malveillant a rapidement été identifié, capable de passer par les filtres de sécurité.
Les chercheurs ont ensuite proposé un commit apparemment légitime contenant un code caché pour voler les identifiants de GitHub pendant la compilation, ce qui aurait pu avoir des conséquences désastreuses.
L'étendue du risque
La faille a affecté des dépôts importants d'AWS, le plus critique étant le AWS SDK for JavaScript, utilisé dans 66% des environnements cloud. Ses problèmes auraient des conséquences graves, notamment en raison de sa présence dans le tableau de bord de gestion d'AWS.
Comparaison avec des incidents précédents
L'impact potentiel a été comparé à l'attaque SolarWinds de 2020 qui a compromis environ 18,000 clients. Dans ce contexte, la possibilité d'une attaque similaire à la chaîne d'approvisionnement d'AWS a soulevé des préoccupations importantes, car elle pourrait donner un accès direct à des informations sensibles et des systèmes critiques.
Scénario hypothétique d'attaque
Si des criminels avaient découvert la vulnérabilité, ils auraient pu créer plusieurs applications jusqu'à obtenir un ID malveillant, passant par des vérifications de sécurité et insérant du code malveillant dans une demande de pull. Le compromis du SDK aurait pu entraîner l'installation d'une porte dérobée, avec des conséquences sévères pour des millions d'applications.
Résolution rapide d'AWS
Après la notification de Wiz en août 2024, AWS a corrigé la faille en 48 heures, ajustant les expressions régulières pour inclure les ancres nécessaires. Des audits ont assuré qu'il n'y avait pas eu d'exploitation par d'autres agents, et des mesures de sécurité supplémentaires ont été mises en place pour prévenir de futurs incidents.
Une analyse minutieuse des journaux de CloudTrail a confirmé que la sécurité des systèmes avait été restaurée et que de nouvelles méthodes de protection avaient été mises en œuvre dans les processus de construction.
Contenu selectionne et edite avec assistance IA. Sources originales referencees ci-dessus.
