ID bollettino: 2026-002-AWS
Ambito: AWS
Tipo di contenuto: informazioni
Data di pubblicazione: 15/01/2026 07:03 PST
 

Descrizione:

Un team di ricerca sulla sicurezza ha identificato un problema di configurazione che riguarda i seguenti repository GitHub open source gestiti da AWS che potrebbe aver causato l’introduzione di codice inappropriato:

• aws-sdk-js-v3
• aws-lc
• amazon-corretto-crypto-provider
• awslabs/open-data-registry

In particolare, i ricercatori hanno identificato che le espressioni regolari configurate nei repository indicati in precedenza per i filtri webhook di AWS CodeBuild destinati a limitare gli ID attori attendibili erano insufficienti. Tali espressioni consentivano a un ID attore acquisito in modo prevedibile di ottenere autorizzazioni amministrative per i repository interessati. Possiamo confermare che si trattava di configurazioni errate specifiche del progetto nei filtri degli ID attori dei webhook per questi repository e non di un problema del servizio CodeBuild stesso. I ricercatori hanno accuratamente dimostrato che in un repository si è verificato l’inserimento di codice inappropriato e hanno informato tempestivamente AWS Security in merito all’attività di ricerca e al potenziale impatto negativo.

Durante questa attività di ricerca sulla sicurezza, non è stato introdotto del codice inappropriato in alcun repository interessato. Tali attività non hanno avuto alcun impatto sugli ambienti dei clienti AWS, né alcuna ripercussione sui servizi o sull’infrastruttura AWS. Non è necessaria alcuna azione da parte del cliente.

AWS ha esaminato e risolto immediatamente tutti i problemi che questa ricerca ha segnalato ed evidenziato. Il problema principale del bypass del filtro degli ID attori dovuto a espressioni regolari insufficienti per i repository identificati è stato mitigato entro 48 ore dalla comunicazione iniziale. Sono state applicate ulteriori mitigazioni, tra cui la rotazione delle credenziali e ulteriori protezioni dei processi di compilazione che contengono token GitHub o qualsiasi altra credenziale in memoria.

Inoltre, AWS ha sottoposto ad audit tutti gli altri repository GitHub open source gestiti da AWS, per garantire che tali configurazioni errate non fossero presenti in tutti i progetti open source di AWS. Infine, AWS ha sottoposto ad audit i log di tali repository di build pubbliche e i log associati di CloudTrail e ha stabilito che nessun altro attore ha tratto vantaggio da questo problema dimostrato.

Questa ricerca ha rafforzato l’importanza dell’audit degli ambienti di AWS CodeBuild, per garantire che tutti i controlli di accesso basati sul filtro ACTOR_ID abbiano un ambito e una configurazione appropriati solo per le identità consentite. Insieme ad altre best practice di sicurezza contenute nella documentazione AWS, l’uso della funzionalità di richiesta pull build delle policy delle build di CodeBuild è un ulteriore meccanismo di difesa approfondito per i problemi di sicurezza CI/CD.

Riferimenti:

• Best practice per l’utilizzo dei webhook con AWS CodeBuild
• Approvazione commenti nella richiesta pull

Ringraziamenti:

Ringraziamo il team di ricerca di Wiz Security per il lavoro svolto nell’identificazione di questo problema e per aver collaborato in modo responsabile con noi nel garantire la protezione e la sicurezza dei nostri clienti.

Per eventuali domande o dubbi sulla sicurezza, invia un’e-mail all’indirizzo aws-security@amazon.com.