ID du bulletin : 2026-002-AWS
Étendue : AWS
Type de contenu : informatif
Date de publication : 15/01/2026 à 07 h 03 (heure standard du Pacifique)
 

Description :

Une équipe de recherche en sécurité a identifié un problème de configuration affectant les référentiels GitHub open source gérés par AWS suivants, qui aurait pu entraîner l’introduction de code inapproprié :

• aws-sdk-js-v3
• aws-lc
• amazon-corretto-crypto-provider
• awslabs/open-data-registry

Plus précisément, les chercheurs ont identifié que les expressions régulières configurées des référentiels ci-dessus pour les filtres webhook AWS CodeBuild destinés à limiter les identifiants d’acteurs fiables étaient insuffisantes. Elles permettaient à un identifiant d’acteur acquis de manière prévisible d’obtenir des autorisations administratives pour les référentiels concernés. Nous pouvons confirmer qu’il s’agissait d’erreurs de configurations spécifiques au projet dans les filtres d’identification des acteurs webhook pour ces référentiels et non d’un problème lié au service CodeBuild lui-même. Les chercheurs ont minutieusement démontré qu’il était possible d’accéder à un référentiel pour y envoyer du code inapproprié et ont rapidement informé AWS Security de leurs activités de recherche et de leur incidence négative potentielle.

Aucun code inapproprié n’a été introduit dans les référentiels concernés au cours de cette activité de recherche sur la sécurité. Ces activités n’ont eu aucune incidence sur les environnements clients AWS ni sur les services ou infrastructures AWS. Aucune action n’est nécessaire de la part du client.

AWS a immédiatement enquêté sur tous les problèmes signalés et mis en évidence par cette étude et y a remédié. Le problème principal du contournement du filtre d’identification des acteurs dû à l’insuffisance des expressions régulières pour les référentiels identifiés a été résolu dans les 48 heures suivant la divulgation initiale. Des mesures d’atténuation supplémentaires ont été mises en œuvre, notamment des rotations d’informations d’identification et des protections supplémentaires des processus de génération contenant des jetons GitHub ou toute autre information d’identification en mémoire.

En outre, AWS a audité tous les autres référentiels GitHub open source gérés par AWS afin de s’assurer qu’aucune erreur de configuration de ce type n’existait dans l’ensemble des projets open source AWS. Enfin, AWS a audité les journaux de ces référentiels publics ainsi que les journaux CloudTrail associés et a déterminé qu’aucun autre acteur n’avait tiré parti de ce problème démontré.

Cette recherche a renforcé l’importance d’auditer les environnements AWS CodeBuild afin de s’assurer que tous les contrôles d’accès basés sur le filtre ACTOR_ID sont correctement délimités et configurés uniquement selon leurs identités autorisées. Outre les autres bonnes pratiques de sécurité décrites dans la documentation AWS, l’utilisation de la fonctionnalité de création de politiques de génération de demandes d’extraction de CodeBuild constitue un mécanisme de défense supplémentaire en profondeur pour les problèmes de sécurité CI/CD.

Références :

• Meilleures pratiques relatives à l’utilisation des webhooks avec AWS CodeBuild
• Demandes d’extraction, approbation des commentaires

Remerciements :

Nous tenons à remercier l’équipe de recherche de Wiz Security pour avoir identifié ce problème et pour sa collaboration avec nous afin de garantir la protection et la sécurité de nos clients.

Veuillez envoyer un e‑mail à l’adresse aws-security@amazon.com pour toute question ou préoccupation en matière de sécurité.