AWS CodeBuild: une mauvaise config (CodeBreach) permettait de contourner les protections et de prendre la main sur des dépôts GitHub

Selon The Register, des chercheurs de Wiz ont dévoilé “CodeBreach”, une vulnérabilité de chaîne d’approvisionnement dans AWS CodeBuild due à des regex non ancrées dans les filtres de webhooks (ACTOR_ID), permettant de contourner les protections sur les pull requests non fiables. AWS a corrigé en septembre après divulgation en août et déclare qu’aucun environnement client ou service AWS n’a été impacté.

• Nature du problème: regex ACTOR_ID non ancrées (manque des caractères ^ et $) dans des projets CodeBuild publics connectés à GitHub. Cela autorisait des bypass de l’allowlist des mainteneurs si l’ID GitHub de l’attaquant contenait (superstring) l’ID autorisé. Wiz qualifie l’ensemble de “CodeBreach” et estime que l’impact potentiel aurait pu être “plus grave que SolarWinds”, touchant jusqu’au SDK JavaScript AWS utilisé par 66 % des environnements cloud, y compris la Console AWS.

• Méthode démontrée (PoC): les chercheurs ont identifié 4 dépôts utilisant CodeBuild public et ACTOR_ID (aws/aws-sdk-js-v3, aws/aws-lc, corretto/amazon-corretto-crypto-provider, awslabs/open-data-registry). Ils ont créé en masse des GitHub Apps pour obtenir un bot user ID contenant celui d’un mainteneur, soumis une PR semblant légitime mais dotée d’une dépendance NPM s’exécutant en build pour extraire les identifiants GitHub. Ils ont alors escaladé en admin repo (push sur main, approbation de PRs, exfiltration de secrets), ouvrant la voie à des injections de code dans le SDK avant publication. ⚠️

• Réponse d’AWS: AWS indique avoir mitigé sous 48 h l’“actor ID bypass due to unanchored regexes” pour les dépôts identifiés, ajouté des protections supplémentaires (notamment sur les processus de build contenant des tokens GitHub ou autres credentials en mémoire), publié un bulletin de sécurité, et audité l’ensemble des environnements de build publics ainsi que les logs (CloudTrail et dépôts) sans trouver d’abus par d’autres acteurs. AWS affirme “aucun impact” sur les clients ou services AWS.

• Portée plus large: Wiz insiste que ce risque relève d’un angle mort CI/CD, non spécifique à AWS, et concerne GitHub Actions, Jenkins et autres services cloud CI. L’attaque requiert un niveau technique modéré; la difficulté principale est la discrétion du payload. Les objectifs potentiels incluent exfiltration de credentials, manipulation d’infrastructures et backdoors à grande échelle. 🔒

• IOCs et TTPs:

  • IOCs: Aucun indicateur public spécifique (IP, domaines, hachages) mentionné.
  • TTPs:
    • Supply-chain via CI/CD et PR depuis fork.
    • Bypass d’allowlist via regex non ancrées (ACTOR_ID) et superstring d’ID avec GitHub Apps/bot IDs.
    • Payload dans dépendance NPM s’exécutant en environnement de build pour exfiltrer des tokens GitHub.
    • Escalade vers admin de dépôt, exfiltration de secrets, injection de code avant release.
    • Exposition de configurations/logs via projets CodeBuild publics.

Cet article est un article de presse spécialisé relayant une publication de recherche et la réponse d’AWS, visant à documenter une vulnérabilité de supply chain et sa remédiation.

🔗 Source originale : https://www.theregister.com/2026/01/15/codebuild_flaw_aws/