CodeBuild

詳細については、次を確認してください：

CodeBuildリポジトリアクセスの悪用

CodeBuildを構成するには、使用するコードリポジトリへのアクセスが必要です。複数のプラットフォームがこのコードをホストしている可能性があります：

CodeBuildプロジェクトは、IAMロールを介してまたはgithub/bitbucketのトークンまたはOAuthアクセスを使用して、構成されたソースプロバイダへのアクセスを持っている必要があります。

CodeBuildで昇格された権限を持つ攻撃者は、構成されたアクセスを悪用して、構成されたリポジトリのコードや設定された認証情報でアクセス権がある他のリポジトリのコードを漏洩させることができます。 これを行うために、攻撃者は単にリポジトリのURLを変更して、構成された認証情報でアクセス権がある各リポジトリにアクセスします（AWSウェブはそれらすべてをリストします）：

そして、Buildspecコマンドを変更して、各リポジトリを外部に漏洩させます。

AWS CodeBuildからのアクセストークンの漏洩

CodeBuildで与えられたアクセスをGithubなどのプラットフォームに漏洩させることができます。外部プラットフォームへのアクセスが与えられているかどうかを確認してください：

aws codebuild list-source-credentials

codebuild:DeleteProject

攻撃者は、CodeBuildプロジェクト全体を削除することができ、プロジェクト構成の損失やプロジェクトに依存するアプリケーションに影響を与える可能性があります。

aws codebuild delete-project --name <value>

潜在的影響: 削除されたプロジェクトを使用するアプリケーションにおけるプロジェクト構成の喪失とサービスの中断。

codebuild:TagResource、codebuild:UntagResource

攻撃者は、CodeBuild リソースからタグを追加、変更、または削除することができ、組織のコスト割り当て、リソース追跡、およびタグに基づくアクセス制御ポリシーに影響を与える可能性があります。

aws codebuild tag-resource --resource-arn <value> --tags <value>
aws codebuild untag-resource --resource-arn <value> --tag-keys <value>

潜在的影響: コスト割り当て、リソース追跡、およびタグベースのアクセス制御ポリシーの混乱。

codebuild:DeleteSourceCredentials

攻撃者は、Gitリポジトリのソース資格情報を削除することができ、リポジトリに依存するアプリケーションの正常な機能に影響を与える可能性があります。

aws codebuild delete-source-credentials --arn <value>

潜在的な影響: 影響を受けたリポジトリに依存するアプリケーションの通常の機能が中断され、ソースの資格情報が削除される可能性があります。