AWS Codebuild - Token Leakage
Recuperar Tokens Configurados de Github/Bitbucket
Primero, verifica si hay credenciales de origen configuradas que puedas filtrar:
A través de la imagen Docker
Si descubres que la autenticación, por ejemplo en Github, está configurada en la cuenta, puedes filtrar ese acceso (token de GH u OAuth) haciendo que Codebuild utilice una imagen Docker específica para ejecutar la compilación del proyecto.
Para esto podrías crear un nuevo proyecto de Codebuild o cambiar el entorno de uno existente para establecer la imagen Docker.
La imagen Docker que podrías usar es https://github.com/carlospolop/docker-mitm. Esta es una imagen Docker muy básica que establecerá las variables de entorno https_proxy
, http_proxy
y SSL_CERT_FILE
. Esto te permitirá interceptar la mayoría del tráfico del host indicado en https_proxy
y http_proxy
y confiar en el CERT SSL indicado en SSL_CERT_FILE
.
Crear y cargar tu propia imagen Docker MitM
Sigue las instrucciones del repositorio para configurar la dirección IP de tu proxy y establecer tu certificado SSL y compilar la imagen Docker.
NO ESTABLEZCAS
http_proxy
para no interceptar las solicitudes al punto de conexión de metadatos.Podrías usar
ngrok
comongrok tcp 4444
para establecer el proxy en tu host.Una vez que hayas compilado la imagen Docker, cárgala en un repositorio público (Dockerhub, ECR...)
Establecer el entorno
Crea un nuevo proyecto de Codebuild o modifica el entorno de uno existente.
Establece que el proyecto utilice la imagen Docker generada anteriormente
Establecer el proxy MitM en tu host
Como se indica en el repositorio de Github, podrías usar algo como:
La versión de mitmproxy utilizada fue la 9.0.1, se informó que con la versión 10 esto podría no funcionar.
Ejecutar la compilación y capturar las credenciales
Puedes ver el token en el encabezado Authorization:
Esto también se podría hacer desde la aws cli con algo como
A través del protocolo HTTP
Esta vulnerabilidad fue corregida por AWS en algún momento de la semana del 20 de febrero de 2023 (creo que el viernes). Por lo tanto, un atacante ya no puede abusar de ella :)
Un atacante con permisos elevados en un CodeBuild podría filtrar el token de Github/Bitbucket configurado o, si los permisos se configuraron a través de OAuth, el token OAuth temporal utilizado para acceder al código.
Un atacante podría agregar las variables de entorno http_proxy y https_proxy al proyecto de CodeBuild apuntando a su máquina (por ejemplo
http://5.tcp.eu.ngrok.io:14972
).
Luego, cambiar la URL del repositorio de github para usar HTTP en lugar de HTTPS, por ejemplo: **http://**github.com/carlospolop-forks/TestActions
Luego, ejecutar el ejemplo básico desde https://github.com/synchronizing/mitm en el puerto apuntado por las variables de proxy (http_proxy y https_proxy)
Finalmente, haz clic en Construir el proyecto, las credenciales serán enviadas en texto claro (base64) al puerto mitm:
Ahora un atacante podrá usar el token desde su máquina, listar todos los privilegios que tiene y abusar de ellos más fácilmente que utilizando el servicio CodeBuild directamente.
Última actualización