AWS - CodeBuild Unauthenticated Access

CodeBuild

Für weitere Informationen siehe diese Seite:

buildspec.yml

Wenn du Schreibzugriff auf ein Repository mit einer Datei namens buildspec.yml erlangst, könntest du diese Datei hintertüren, die die Befehle angibt, die innerhalb eines CodeBuild-Projekts ausgeführt werden, und die Geheimnisse exfiltrieren, was durchgeführt wird, und auch die CodeBuild IAM-Rollenanmeldeinformationen kompromittieren.

Beachte, dass selbst wenn keine buildspec.yml-Datei vorhanden ist, du aber weißt, dass Codebuild verwendet wird (oder ein anderes CI/CD), das Ändern von legitimen Code, der ausgeführt wird, dir auch beispielsweise eine Reverse-Shell verschaffen kann.

Für einige verwandte Informationen könntest du die Seite über den Angriff auf Github Actions (ähnlich wie diese) überprüfen:

Selbstgehostete GitHub Actions-Runner in AWS CodeBuild

Wie in den Dokumenten angegeben, ist es möglich, CodeBuild so zu konfigurieren, dass selbstgehostete Github-Aktionen ausgeführt werden, wenn ein Workflow in einem konfigurierten Github-Repo ausgelöst wird. Dies kann durch Überprüfung der CodeBuild-Projektkonfiguration erkannt werden, da der Event type enthalten sein muss: WORKFLOW_JOB_QUEUED und in einem Github-Workflow, da er einen selbstgehosteten Runner wie folgt auswählen wird:

runs-on: codebuild-<project-name>-${{ github.run_id }}-${{ github.run_attempt }}

Diese neue Beziehung zwischen Github Actions und AWS schafft einen weiteren Weg, AWS über Github zu kompromittieren, da der Code in Github in einem CodeBuild-Projekt mit einer angehängten IAM-Rolle ausgeführt wird.