- Wiz, “CodeBreach” olarak adlandırılan, yetkisiz ayrıcalıklı derlemelere olanak tanıyan AWS CodeBuild yanlış yapılandırmasını keşfetti.
- Kusur, GitHub tokenlarının açığa çıkması ve AWS projelerinde tedarik zinciri saldırılarına olanak sağlanması riskiyle karşı karşıya kaldı
- AWS sorunu 48 saat içinde düzeltti; kötüye kullanım tespit edilmedi; kullanıcılardan CI/CD kurulumlarını güvenli hale getirmeleri istendi
Kritik bir yanlış yapılandırma Amazon Uzmanlar, Web Hizmetleri (AWS) CodeBuild hizmetinin, AWS tarafından yönetilen birçok GitHub deposunu potansiyel tedarik zinciri saldırılarına maruz bıraktığı konusunda uyardı.
Güvenlik araştırmacıları Zeka kusuru keşfetti ve bunu AWS’ye bildirdi, böylece sorunun çözülmesine yardımcı oldu.
AWS CodeBuild, kaynak kodunu bir CI/CD işlem hattının parçası olarak otomatik olarak oluşturup paketleyen, tam olarak yönetilen bir Amazon Web Services hizmetidir. Derleme işlerini yalıtılmış ortamlarda çalıştırır ve talep üzerine ölçeklendirir.
Kod İhlali
Wiz’in raporu, AWS CodeBuild’in hangi GitHub kullanıcılarının derleme işlerini tetiklemesine izin verildiğini kontrol etme biçimindeki yanlış yapılandırmanın nasıl olduğunu özetlemektedir. Sistem, tam bir eşleşme gerektirmeyen, saldırganların alt dizeler olarak onaylanmış kimlikleri içeren yeni kimlikleri tahmin etmesine ve elde etmesine olanak tanıyan, filtreyi atlayan ve ayrıcalıklı yapıları tetikleyen bir model kullandı.
Bu, güvenilmeyen kullanıcıların ayrıcalıklı derleme süreçlerini başlatmasına olanak tanıdı ve bu da derleme ortamında depolanan güçlü GitHub erişim belirteçlerinin açığa çıkmasına neden oldu.
“CodeBreach” olarak adlandırılan güvenlik açığı, platform genelinde güvenlik ihlaline neden olmuş ve arka kapılı yazılım güncellemeleri dağıtarak sayısız uygulamayı ve AWS müşterisini potansiyel olarak etkilemiş olabilir.
Şans eseri, CodeBreach’in vahşi doğada kötüye kullanıldığına dair hiçbir kanıt bulunmadığından, Wiz bunu herhangi bir kötü niyetli aktörden önce fark etmiş gibi görünüyor.
AWS, görünüşe göre yanlış yapılandırılmış web kancası filtrelerini düzeltti, kimlik bilgilerini döndürdü, güvenli derleme ortamlarını sağladı ve “ek güvenlik önlemleri ekledi”. Şirket ayrıca sorunun projeye özel olduğunu ve CodeBuild hizmetindeki bir kusur olmadığını da belirtti.
Wiz ile paylaşılan bir açıklamada, “AWS, ‘AWS Konsol Tedarik Zincirine Sızmak: CodeBuild Aracılığıyla Çekirdek AWS GitHub Depolarının Ele Geçirilmesi’ bölümünde Wiz’in araştırma ekibi tarafından vurgulanan tüm bildirilen endişeleri araştırdı.” dedi.
“Buna yanıt olarak AWS, Wiz tarafından keşfedilen tüm sorunları azaltmak için bir dizi adımın yanı sıra gelecekteki benzer olası sorunlara karşı koruma sağlamak için ek adımlar ve hafifletme önlemleri aldı. Belirlenen depolar için sabitlenmemiş normal ifadeler nedeniyle aktör kimliğinin atlanmasıyla ilgili temel sorun, ilk açıklamanın ardından 48 saat içinde hafifletildi. Github belirteçlerini veya bellekteki diğer kimlik bilgilerini içeren tüm derleme süreçlerinin daha fazla korunması da dahil olmak üzere ek hafifletme önlemleri uygulandı.
“Ayrıca AWS, AWS açık kaynak mülkünde bu tür sorunların bulunmadığından emin olmak için diğer tüm genel yapı ortamlarını denetledi. Son olarak AWS, tüm genel derleme depolarının günlüklerinin yanı sıra ilgili CloudTrail günlüklerini de denetledi ve Wiz araştırma ekibi tarafından gösterilen sabit olmayan normal ifade sorunundan başka hiçbir aktörün faydalanmadığını belirledi.
“AWS, belirlenen sorunun herhangi bir müşteri ortamının veya herhangi bir AWS hizmetinin gizliliği veya bütünlüğü üzerinde herhangi bir etkisi olmadığını belirledi.”
Wiz, yanlış yapılandırmayı Ağustos 2025’in sonlarında AWS’ye bildirdi ve AWS kısa süre sonra sorunu düzeltti. Ancak her iki şirket de kullanıcılara CI/CD yapılandırmalarını gözden geçirmelerini, webhook normal ifade filtrelerini bağlamalarını, belirteç ayrıcalıklarını sınırlamalarını ve güvenilmeyen çekme isteklerinin ayrıcalıklı derleme işlem hatlarını tetikleyemeyeceğinden emin olmalarını öneriyor.
Her bütçeye uygun en iyi antivirüs
TechRadar’ı Google Haberler’de takip edin Ve bizi tercih edilen kaynak olarak ekleyin Akışlarınızda uzman haberlerimizi, incelemelerimizi ve görüşlerimizi almak için. Takip Et butonuna tıklamayı unutmayın!
Ve tabii ki siz de yapabilirsiniz TechRadar’ı TikTok’ta takip edin haberler, incelemeler ve video biçimindeki kutu açma işlemleri için bizden düzenli olarak güncellemeler alın WhatsApp fazla.