CodeBuild

Per ulteriori informazioni consulta questa pagina:

buildspec.yml

Se comprometti l'accesso in scrittura su un repository contenente un file chiamato buildspec.yml, potresti inserire un backdoor in questo file, che specifica i comandi che verranno eseguiti all'interno di un progetto CodeBuild ed estrarre i segreti, compromettere ciò che viene fatto e compromettere anche le credenziali del ruolo IAM di CodeBuild.

Nota che anche se non c'è alcun file buildspec.yml ma sai che viene utilizzato CodeBuild (o un diverso CI/CD) modificare un codice legittimo che verrà eseguito può anche farti ottenere ad esempio una reverse shell.

Per ulteriori informazioni correlate, puoi consultare la pagina su come attaccare le Azioni Github (simile a questa):

Runner di Azioni GitHub self-hosted in AWS CodeBuild

Come indicato nella documentazione, è possibile configurare CodeBuild per eseguire azioni Github self-hosted quando viene attivato un flusso di lavoro all'interno di un repository Github configurato. Questo può essere rilevato controllando la configurazione del progetto CodeBuild perché il Tipo di evento deve contenere: WORKFLOW_JOB_QUEUED e in un Workflow Github perché selezionerà un runner self-hosted in questo modo:

runs-on: codebuild-<project-name>-${{ github.run_id }}-${{ github.run_attempt }}

Questo nuovo rapporto tra Github Actions e AWS crea un altro modo per compromettere AWS da Github poiché il codice in Github verrà eseguito in un progetto CodeBuild con un ruolo IAM allegato.