AWS - CodeBuild Unauthenticated Access

CodeBuild

Per ulteriori informazioni controlla questa pagina:

buildspec.yml

Se comprometti l'accesso in scrittura su un repository contenente un file chiamato buildspec.yml, potresti backdoor questo file, che specifica i comandi che verranno eseguiti all'interno di un progetto CodeBuild ed esfiltrare i segreti, compromettere ciò che viene fatto e anche compromettere le credenziali del ruolo IAM di CodeBuild.

Nota che anche se non c'è alcun file buildspec.yml ma sai che Codebuild viene utilizzato (o un diverso CI/CD) modificare del codice legittimo che verrà eseguito può anche portarti a una reverse shell, per esempio.

Per alcune informazioni correlate puoi controllare la pagina su come attaccare Github Actions (simile a questa):

Eseguitori di GitHub Actions auto-ospitati in AWS CodeBuild

Come indicato nella documentazione, è possibile configurare CodeBuild per eseguire azioni Github auto-ospitate quando un workflow viene attivato all'interno di un repository Github configurato. Questo può essere rilevato controllando la configurazione del progetto CodeBuild perché il Tipo di evento deve contenere: WORKFLOW_JOB_QUEUED e in un Workflow di Github perché selezionerà un runner auto-ospitato in questo modo:

runs-on: codebuild-<project-name>-${{ github.run_id }}-${{ github.run_attempt }}

Questa nuova relazione tra Github Actions e AWS crea un altro modo per compromettere AWS da Github poiché il codice in Github verrà eseguito in un progetto CodeBuild con un ruolo IAM allegato.