ID do boletim: 2026-002-AWS
Escopo: AWS
Tipo de conteúdo: Informativo
Data de publicação: 15/01/2026 07:03 PST
 

Descrição:

Uma equipe de pesquisa de segurança identificou um problema de configuração que afetava os seguintes repositórios de código aberto do GitHub gerenciados pela AWS, o que poderia ter resultado na introdução de código inadequado:

• aws-sdk-js-v3
• aws-lc
• amazon-corretto-crypto-provider
• awslabs/open-data-registry

Especificamente, os pesquisadores identificaram que as expressões regulares configuradas nos repositórios acima para filtros de webhook do AWS CodeBuild, destinadas a limitar IDs de usuários confiáveis, eram insuficientes, permitindo que uma ID de usuário adquirida de forma previsível obtivesse permissões administrativas para os repositórios afetados. Podemos confirmar que se tratava de erros de configuração específicos do projeto nos filtros de ID do usuário do webhook para esses repositórios e não de um problema no serviço CodeBuild propriamente dito. Os pesquisadores demonstraram cuidadosamente o acesso para inserir código inadequado em um repositório e informaram prontamente a AWS Security sobre sua atividade de pesquisa e seu impacto negativo potencial.

Nenhum código inadequado foi introduzido em nenhum dos repositórios afetados durante essa atividade de pesquisa de segurança, e essas atividades não tiveram impacto em nenhum ambiente de cliente da AWS, nem afetaram nenhum serviço ou infraestrutura da AWS. Não é necessário nenhuma ação por parte do cliente.

A AWS investigou imediatamente e corrigiu todas as preocupações relatadas e destacadas por essa pesquisa. O problema principal do desvio do filtro de identificação de atores devido a expressões regulares insuficientes para os repositórios identificados foi mitigado menos de 48 horas após a divulgação inicial. Foram implementadas medidas de mitigação adicionais, incluindo alternância de credenciais e proteções adicionais para processos de compilação que contêm tokens do GitHub ou quaisquer outras credenciais na memória.

Além disso, a AWS auditou todos os outros repositórios de código aberto do GitHub gerenciados pela AWS para garantir que não existam configurações incorretas em nenhum dos projetos de código aberto da AWS. Por fim, a AWS auditou os logs desses repositórios públicos de compilação, bem como os logs associados do AWS CloudTrail, e determinou que nenhum outro usuário se aproveitou dessa falha demonstrada.

Esta pesquisa reforçou a importância de auditar os ambientes do AWS CodeBuild para garantir que quaisquer controles de acesso baseados no filtro ACTOR_ID tenham o escopo adequado e sejam configurados apenas para as identidades incluídas na lista de permissões. Juntamente com outras práticas recomendadas de segurança na documentação da AWS, o uso do recurso de políticas de compilação de pull requests do CodeBuild é um mecanismo adicional de defesa profunda para questões de segurança de CI/CD.

Referências:

• Melhores práticas para usar webhooks com o AWS CodeBuild
• Aprovação de comentários de pull requests

Agradecimento:

Gostaríamos de agradecer à equipe de pesquisa da Wiz Security pelo trabalho na identificação desse problema e pela colaboração responsável conosco para garantir que nossos clientes permaneçam protegidos e seguros.

Envie um e-mail para aws-security@amazon.com em caso de qualquer dúvida ou preocupação sobre segurança.