CodeBuild

Pour plus d'informations, consultez cette page :

buildspec.yml

Si vous compromettez l'accès en écriture sur un référentiel contenant un fichier nommé buildspec.yml, vous pourriez installer une porte dérobée dans ce fichier, qui spécifie les commandes qui vont être exécutées à l'intérieur d'un projet CodeBuild et exfiltrer les secrets, compromettre ce qui est fait et compromettre également les informations d'identification du rôle IAM de CodeBuild.

Notez que même s'il n'y a pas de fichier buildspec.yml mais que vous savez que CodeBuild est utilisé (ou un autre CI/CD) modifier un code légitime qui va être exécuté peut également vous donner un shell inversé par exemple.

Pour des informations connexes, vous pouvez consulter la page sur comment attaquer les actions Github (similaire à ceci) :

Exécuteurs d'actions GitHub auto-hébergés dans AWS CodeBuild

Comme indiqué dans la documentation, il est possible de configurer CodeBuild pour exécuter des actions Github auto-hébergées lorsqu'un flux de travail est déclenché à l'intérieur d'un référentiel Github configuré. Cela peut être détecté en vérifiant la configuration du projet CodeBuild car le Type d'événement doit contenir : WORKFLOW_JOB_QUEUED et dans un flux de travail Github car il sélectionnera un exécuteur auto-hébergé comme ceci :

runs-on: codebuild-<project-name>-${{ github.run_id }}-${{ github.run_attempt }}

Cette nouvelle relation entre Github Actions et AWS crée une autre façon de compromettre AWS à partir de Github car le code sur Github s'exécutera dans un projet CodeBuild avec un rôle IAM attaché.