Bulletin-ID: 2026-002-AWS
Geltungsbereich: AWS
Inhaltstyp: Informativ
Datum der Veröffentlichung: 15.01.2026, 07:03 Uhr PST
 

Beschreibung:

Ein Sicherheitsteam hat ein Konfigurationsproblem in bestimmten, von AWS verwalteten Open‑Source‑GitHub‑Repositorys identifiziert. Dieses Problem hätte es potenziell ermöglichen können, unbefugten oder schädlichen Code in die betroffenen Repositorys einzubringen:

• aws-sdk-js-v3
• aws-lc
• amazon-corretto-crypto-provider
• awslabs/open-data-registry

Konkret stellte das Sicherheitsteam fest, dass die in den oben genannten Repositorys konfigurierten regulären Ausdrücke für die AWS‑CodeBuild‑Webhook‑Filter zur Einschränkung auf vertrauenswürdige Actor‑IDs nicht ausreichend restriktiv waren. Dadurch konnte unter bestimmten Umständen eine vorhersehbar ermittelte Actor‑ID administrative Berechtigungen für die betroffenen Repositorys erlangen. Wir können bestätigen, dass es sich um projektspezifische Fehlkonfigurationen in Filtern für Webhook-Actor-IDs für diese Repositorys handelte und nicht um ein Problem im Service „CodeBuild“ selbst. Die Forschenden demonstrierten kontrolliert die Möglichkeit, in einem Repository unangemessenen Code zu committen, und informierten AWS Security unverzüglich über ihre Untersuchung sowie über mögliche negative Auswirkungen.

Im Rahmen dieser Sicherheitsforschung wurde in keines der betroffenen Repositorys unangemessener Code eingebracht. Die durchgeführten Aktivitäten hatten keinerlei Auswirkungen auf Umgebungen von AWS‑Kunden und beeinträchtigten weder AWS‑Services noch die AWS‑Infrastruktur. Für Kunden besteht kein Handlungsbedarf.

AWS hat sofort alle im Zusammenhang mit dieser Untersuchung gemeldeten Probleme untersucht und behoben. Das Kernproblem der Umgehung von Filtern nach Actor-ID aufgrund mangelhafter regulärer Ausdrücke für die erkannten Repositorys wurde innerhalb von 48 Stunden nach der ersten Offenlegung behoben. Es wurden zusätzliche Maßnahmen zur Risikominderung umgesetzt, darunter das Rotieren von Anmeldeinformationen sowie ein weitergehender Schutz von Build‑Prozessen, in denen GitHub‑Token oder andere Anmeldeinformationen im Arbeitsspeicher vorhanden sind.

Darüber hinaus hat AWS alle weiteren von AWS verwalteten Open‑Source‑GitHub‑Repositorys überprüft, um sicherzustellen, dass innerhalb der gesamten AWS‑Open‑Source‑Projekte keine entsprechenden Fehlkonfigurationen bestehen. Darüber hinaus wertete AWS die Logs der öffentlichen Build‑Repositorys und die entsprechenden CloudTrail‑Protokolle aus und kam zu dem Ergebnis, dass kein anderer Akteur von dem identifizierten Problem Gebrauch gemacht hat.

Diese Untersuchung unterstrich die Bedeutung der regelmäßigen Überprüfung von AWS‑CodeBuild‑Umgebungen, um sicherzustellen, dass auf dem ACTOR_ID‑Filter basierende Zugriffskontrollen korrekt zugeschnitten und ausschließlich auf die jeweils zugelassenen Identitäten beschränkt sind. Neben anderen in der AWS-Dokumentation aufgeführten bewähren Methoden zum Thema „Sicherheit“ ist die Nutzung des Features Richtlinien zum Erstellen von Pull-Requests von CodeBuild ein zusätzlicher wirkungsvoller Mechanismus zur umfassenden Verteidigung gegen CI/CD-Sicherheitsrisiken.

Referenzen:

• Bewährte Methoden für die Verwendung von Webhooks mit AWS CodeBuild
• Genehmigung eines Pull-Request-Kommentars

Danksagung:

Wir danken dem Sicherheitsteam von Wiz Security für seine Arbeit bei der Identifizierung dieses Problems sowie für die verantwortungsvolle Zusammenarbeit mit uns, um den Schutz und die Sicherheit unserer Kunden zu gewährleisten.

Bei Fragen oder Bedenken zum Thema Sicherheit senden Sie bitte eine E-Mail an aws-security@amazon.com.