CodeBuild용 고정되지 않은 ACCOUNT_ID 웹후크 필터
공지 ID: 2026-002-AWS
범위:
AWS
콘텐츠 유형:
정보
게시일: 2026년 1월 15일 오전 7시 3분(PST)
설명:
한 보안 연구팀에서 다음과 같은 AWS 관리형 오픈 소스 GitHub 리포지토리에 영향을 미치는 구성 문제를 확인했습니다. 이 문제로 인해 부적절한 코드가 도입되었을 수 있습니다.
- aws-sdk-js-v3
- aws-lc
- amazon-corretto-crypto-provider
- awslabs/open-data-registry
구체적으로, 연구진은 위 리포지토리의 AWS CodeBuild 웹후크 필터용으로 구성된 정규식이 원래 의도대로 신뢰할 수 있는 행위자 ID를 제한하기에는 충분하지 않아, 예측된대로 획득된 행위자 ID가 영향을 받는 리포지토리의 관리 권한을 얻을 수 있게 허용함을 발견했습니다. AWS는 이러한 문제가 해당 리포지토리의 웹후크 행위자 ID 필터의 프로젝트별 구성 오류에만 국한되며, CodeBuild 서비스 자체의 문제는 아니라는 것을 확인했습니다. 연구진은 리포지토리 하나에 부적절한 코드를 커밋하기 위해 조심스럽게 액세스를 실연한 후, 곧바로 AWS 보안팀에 자체 연구 활동 및 그로 인한 부정적 영향이 있을 수 있음을 알렸습니다.
이 보안 연구 활동 중에 해당 리포지토리 중 어느 것에도 부적절한 코드가 도입되지 않았으며, 이러한 활동은 AWS 고객 환경에는 아무런 영향을 미치지 않았고 AWS 서비스 또는 인프라에도 아무런 영향이 없었습니다. 고객이 취해야 할 조치는 없습니다.
AWS는 즉각적인 조사를 통해 이 연구에서 드러난, 보고된 모든 우려 사항을 해결했습니다. 확인된 리포지토리의 불충분한 정규식으로 인한 행위자 ID 필터 우회의 핵심 문제는 처음 공개된 시점으로부터 48시간 이내에 완화되었습니다. 자격 증명 교체와 같은 추가적인 완화 조치도 구현했으며, 메모리에 GitHub 토큰 또는 그 외 모든 자격 증명을 포함하는 빌드 프로세스의 보호도 보강했습니다.
또한 AWS는 그 외 모든 AWS 관리형 오픈 소스 GitHub 리포지토리를 감사하여 AWS 오픈 소스 프로젝트 전체에 그러한 구성 오류가 존재하지 않는지 확인했습니다. 마지막으로, AWS는 퍼블릭 빌드 리포지토리의 로그와 관련 CloudTrail 로그도 감사하여 이번에 입증된 문제를 이용한 행위자가 더 이상은 존재하지 않는 것으로 판단했습니다.
이번 연구로 ACTOR_ID 필터에 기반한 모든 액세스 제어가 허용 목록에 추가된 ID에 대해서만 범위가 적절하게 범위가 지정되고 구성되도록 보장하려면 AWS CodeBuild 환경을 감사하는 것이 얼마나 중요한지가 다시 한번 확인되었습니다. AWS 설명서의 보안 관련 모범 사례와 마찬가지로 CodeBuild의 풀 요청 빌드 정책 기능도 CI/CD 보안 우려 사항에 대비한 추가적인 심층 방어 메커니즘 구실을 합니다.
참고 사항:
도움을 주신 분:
이 문제를 파악해 주시고, AWS 고객이 계속 안전하게 보호될 수 있도록 책임감을 가지고 AWS와 협업해 주신 Wiz Security 연구팀에 감사드립니다.
보안 관련 질문이나 우려 사항이 있는 경우 aws-security@amazon.com으로 문의하세요.