CodeBuild

더 많은 정보는 확인하세요:

CodeBuild Repo 악용

CodeBuild를 구성하려면 사용할 코드 리포에 액세스가 필요합니다. 여러 플랫폼이 이 코드를 호스팅할 수 있습니다:

CodeBuild 프로젝트는 구성된 소스 제공자에 액세스해야 하며, 이는 IAM 역할 또는 github/bitbucket 토큰 또는 OAuth 액세스를 통해 이루어집니다.

CodeBuild에서 권한이 상승한 공격자는 구성된 액세스를 악용하여 구성된 리포의 코드 및 액세스 권한이있는 다른 리포의 코드를 노출시킬 수 있습니다. 이를 위해 공격자는 구성 자격 증명이 액세스하는 각 리포지토리의 URL을 변경하기만 하면 됩니다 (aws 웹은 모든 리포지토리를 나열합니다):

그리고 Buildspec 명령을 변경하여 각 리포를 유출할 수 있습니다.

AWS CodeBuild에서 액세스 토큰 노출

CodeBuild에서 제공된 액세스를 Github와 같은 플랫폼에 노출시킬 수 있습니다. 외부 플랫폼에 액세스 권한이 부여되었는지 확인하세요:

aws codebuild list-source-credentials

codebuild:DeleteProject

공격자는 전체 CodeBuild 프로젝트를 삭제하여 프로젝트 구성 손실을 유발하고 프로젝트에 의존하는 애플리케이션에 영향을 줄 수 있습니다.

aws codebuild delete-project --name <value>

잠재적 영향: 삭제된 프로젝트를 사용하는 애플리케이션의 프로젝트 구성 손실 및 서비스 중단.

codebuild:TagResource, codebuild:UntagResource

공격자는 CodeBuild 리소스에서 태그를 추가, 수정 또는 제거하여 조직의 태그에 기반한 비용 할당, 리소스 추적 및 액세스 제어 정책을 방해할 수 있습니다.

aws codebuild tag-resource --resource-arn <value> --tags <value>
aws codebuild untag-resource --resource-arn <value> --tag-keys <value>

잠재적 영향: 비용 할당, 자원 추적 및 태그 기반 액세스 제어 정책 방해.

codebuild:DeleteSourceCredentials

공격자는 Git 저장소의 소스 자격 증명을 삭제하여, 저장소에 의존하는 애플리케이션의 정상 작동에 영향을 줄 수 있습니다.

aws codebuild delete-source-credentials --arn <value>

잠재적 영향: 영향을 받는 저장소로부터 소스 자격 증명이 제거되어 영향을 받는 응용 프로그램의 정상 작동이 방해될 수 있습니다.