CodeBuild

Für weitere Informationen besuchen Sie diese Seite:

buildspec.yml

Wenn Sie Schreibzugriff auf ein Repository haben, das eine Datei namens buildspec.yml enthält, könnten Sie diese Datei backdooren, die die Befehle spezifiziert, die innerhalb eines CodeBuild-Projekts ausgeführt werden, und die Geheimnisse exfiltrieren, kompromittieren, was getan wird, und auch die CodeBuild-IAM-Rollenanmeldeinformationen kompromittieren.

Beachten Sie, dass selbst wenn keine buildspec.yml-Datei vorhanden ist, aber Sie wissen, dass CodeBuild verwendet wird (oder ein anderes CI/CD), das Ändern von legitimen Code, der ausgeführt wird, Ihnen beispielsweise eine Reverse-Shell verschaffen kann.

Für einige verwandte Informationen könnten Sie die Seite über den Angriff auf Github Actions überprüfen (ähnlich wie hier):

Selbstgehostete GitHub Actions-Runner in AWS CodeBuild

Wie in der Dokumentation angegeben, ist es möglich, CodeBuild so zu konfigurieren, dass selbstgehostete Github Actions ausgeführt werden, wenn ein Workflow in einem konfigurierten Github-Repository ausgelöst wird. Dies kann festgestellt werden, indem die Konfiguration des CodeBuild-Projekts überprüft wird, da der Ereignistyp WORKFLOW_JOB_QUEUED enthalten muss und in einem Github-Workflow, weil es einen selbstgehosteten Runner wie diesen auswählen wird:

runs-on: codebuild-<project-name>-${{ github.run_id }}-${{ github.run_attempt }}

Diese neue Verbindung zwischen Github Actions und AWS eröffnet einen weiteren Weg, um AWS von Github aus zu kompromittieren, da der Code in Github in einem CodeBuild-Projekt mit einer angehängten IAM-Rolle ausgeführt wird.