Amazon resolve falha que ameaçou 66% da infraestrutura em nuvem
TL;DR
Uma falha crítica no serviço CodeBuild da Amazon Web Services (AWS) apresentou risco a 66% dos ambientes de computação em nuvem globalmente. A vulnerabilidade foi corrigida antes que ações maliciosas pudessem ocorrer.
Uma falha crítica no servi CodeBuild da Amazon Web Services (AWS) apresentou risco a 66% dos ambientes de computação em nuvem globalmente. Identificada pela empresa de segurança Wiz e chamada de CodeBreach, a vulnerabilidade foi corrigida em setembro de 2024, antes que ações maliciosas pudessem ocorrer.
A vulnerabilidade tinha origem em expressões regulares usadas para validar IDs de usuários no CodeBuild. A ausência dos caracteres especiais ^ (início) e $ (fim) permitiu que IDs indevidos fossem aceitos, potencializando um ataque à cadeia de suprimentos.
Como a vulnerabilidade foi identificada
A equipe da Wiz investigou o pipeline de integração contínua da AWS após perceber um ataque à extensão Amazon Q para VS Code. Durante a análise, eles descobriram que o filtro de controle de acesso do CodeBuild estava mal configurado.
O filtro denominado ACTOR_ID funcionava com uma lista de permissões que não era restritiva o suficiente devido a falhas nas expressões regulares. Isso permitiu que qualquer ID contendo um ID confiável passasse na verificação de segurança.
Facilidade de exploração
A equipe demonstrou a facilidade de exploração da falha, criando 200 aplicativos automatizados no GitHub, gerando IDs sequenciais. Assim, rapidamente, um ID malicioso foi identificado que conseguiu passar pelos filtros de segurança.
Os pesquisadores então propuseram um commit aparentemente legítimo com um código escondido para roubar credenciais do GitHub durante a compilação, o que poderia ter resultados desastrosos.
A extensão do risco
A falha afetou repositórios importantes da AWS, sendo o mais crítico o AWS SDK for JavaScript, usado em 66% dos ambientes em nuvem. Seus problemas teriam consequências sérias, especialmente por sua presença no console de gerenciamento da AWS.
Comparação com incidentes anteriores
O impacto potencial foi comparado ao ataque SolarWinds de 2020 que comprometeu cerca de 18.000 clientes. Neste contexto, a possibilidade de um ataque semelhante à cadeia de suprimentos da AWS levantou preocupações significativas, já que poderia dar acesso direto a informações sensíveis e sistemas críticos.
Cenário hipotético de ataque
Se criminosos tivessem descoberto a vulnerabilidade, poderiam criar vários aplicativos até obter um ID malicioso, passando por verificações de segurança e inserindo código malicioso em um pull request. O comprometimento do SDK poderia resultar na instalação de um backdoor, com consequências severas para milhões de aplicações.
Resolução rápida da AWS
Após a notificação da Wiz em agosto de 2024, a AWS corrigiu a falha em 48 horas, ajustando as expressões regulares para incluir as âncoras necessárias. Auditorias garantiram que não houve exploração por outros agentes, e medidas adicionais de segurança foram implementadas para prevenir futuros incidentes.
Uma análise minuciosa dos logs do CloudTrail voltou a dar a certeza de que a segurança dos sistemas foi restaurada e novos métodos de proteção foram implementados nos processos de build.
Conteudo selecionado e editado com assistencia de IA. Fontes originais referenciadas acima.
