ID del boletín: 2026-002-AWS
Alcance: AWS
Tipo de contenido: informativo
Fecha de la publicación: 15/01/2026 07:03 h PST
 

Descripción:

Un equipo de investigación en seguridad identificó un problema de configuración que afectaba a los siguientes repositorios de GitHub de código abierto administrados por AWS, y que podría haber permitido la introducción de código inapropiado:

• aws-sdk-js-v3
• aws-lc
• amazon-corretto-crypto-provider
• awslabs/open-data-registry

En concreto, los investigadores determinaron que las expresiones regulares configuradas en los filtros de webhook de AWS CodeBuild de los repositorios mencionados, destinadas a limitar los identificadores de actores de confianza, eran insuficientes, lo que permitió que un identificador de actor adquirido de forma predecible obtuviera permisos administrativos en los repositorios afectados. Podemos confirmar que se trataba de configuraciones incorrectas específicas de cada proyecto en los filtros de identificadores de actores de los webhooks de estos repositorios, y no de un problema del propio servicio CodeBuild. Los investigadores demostraron cuidadosamente que era posible obtener acceso para confirmar código inapropiado en uno de los repositorios, y notificaron de inmediato a AWS Security sobre su actividad de investigación y su posible impacto negativo.

Durante esta actividad de investigación de seguridad no se introdujo ningún código inapropiado en ninguno de los repositorios afectados, y dichas actividades no tuvieron ningún impacto en los entornos de los clientes de AWS ni afectaron a los servicios o a la infraestructura de AWS. No se requiere ninguna acción por parte del cliente.

AWS investigó de inmediato y corrigió todas las cuestiones notificadas que se pusieron de manifiesto a raíz de esta investigación. El problema principal de elusión del filtro de identificadores de actores, provocado por expresiones regulares insuficientes en los repositorios identificados, se mitigó en un plazo de 48 horas desde la divulgación inicial. Se implementaron medidas de mitigación adicionales, incluidas rotaciones de credenciales y protecciones adicionales de los procesos de compilación que contienen tokens de GitHub u otras credenciales en memoria.

Además, AWS auditó todos los demás repositorios de GitHub de código abierto administrados por AWS para garantizar que no existan configuraciones incorrectas de este tipo en la totalidad de los proyectos de código abierto de AWS. Por último, AWS auditó los registros de esos repositorios de compilación públicos, así como los registros de CloudTrail asociados, y determinó que ningún otro actor se ha aprovechado de este problema demostrado.

Esta investigación reforzó la importancia de auditar los entornos de AWS CodeBuild para garantizar que cualquier control de acceso basado en el filtro ACTOR_ID esté correctamente delimitado y configurado únicamente para las identidades incluidas en la lista de permitidos. Junto con otras prácticas recomendadas de seguridad descritas en la documentación de AWS, el uso de la característica de políticas de compilación de solicitudes de extracción de CodeBuild constituye un mecanismo adicional de defensa en profundidad para abordar las preocupaciones de seguridad en CI/CD.

Referencias:

• Best practices for using webhooks with AWS CodeBuild
• Pull request comment approval

Reconocimiento:

Nos gustaría agradecer al equipo de investigación de Wiz Security por su labor al identificar este problema y por su colaboración responsable con nosotros para garantizar que nuestros clientes permanezcan protegidos y seguros.

Dirija cualquier pregunta o inquietud sobre seguridad al correo electrónico aws-security@amazon.com.