AWS CodeBuild конфигурациясынын туура эмес орнотулушу GitHub репозиторийлерин жеткирүү чынжырына кол салууга дуушар кылуу коркунучуна алып келди

Ой-бай — AWS жаңы эле CodeBuild'деги критикалык конфигурация катасын оңдоду, ал хакерлерге GitHub актер ID текшерүүлөрүн айланып өтүүгө жана төрт AWS GitHub репозиторийин басып алууга мүмкүндүк бермекчи болгон. Бул теоретикалык уязвимость эмес эле — ал иштеп жаткан жана толук масштабдагы жеткирүү чынжырына кол салууларды баштай алган.

Ката кайда? AWS CodeBuild'деги туура эмес орнотулган вебхук, ал GitHub актер ID'лерин туура текшерген эмес. Котормосу: хакерлер легитимдүү GitHub колдонуучуларын жасалма кылып, зыяндуу кодду түздөн-түз AWS'тин өз репозиторийлерине түртө алышкан. Муну ойлонуңуз — AWS'тин өз CI/CD конвейери арткы эшиги бар эле.

Wiz'деги коопсуздук изилдөөчүлөрү бул татаалдыкты таап, 2025-жылдын сентябрында AWS'ке билдиришти. AWS тез оңдоду, бирок бул жерде коркунучтуу бөлүгү: бул жөн гана код уурдоо эмес эле. Ийгиликтүү эксплуатация хакерлерге AWS'тин ачык булактуу долбоорлоруна зыяндуу программа киргизүүгө мүмкүндүк бермекчи болгон, миңдеген уюмдарды таасирдеген жеткирүү чынжырына кол салууларды түзө алган.

Дал ушул себептен булут коопсуздугу адистери өздөрүнүн CI/CD конвейерлерин текшерүүгө муктаж. AWS CodeBuild демейки боюнча коопсуз болушу керек, бирок бул чоң оюнчулар да вебхук конфигурацияларында ката кетире аларын көрсөтөт. Оңдоо? AWS ошол актер ID текшерүүлөрүн бекемдеди — бирок сезимталдык терезеси чыныгы эле.

Негизги нерсе: эгер сиз AWS CodeBuild'ди GitHub вебхуктары менен колдонуп жатсаңыз, конфигурацияларыңызды эки жолу текшериңиз. Бул ката жөнөкөй конфигурация катасы сиздин CI/CD конвейериңизден сиздин булак коду репозиторийлериңизге түздөн-түз жол кандайча түзө аларын көрсөтөт. Жеткирүү чынжырына кол салуулар жөн гана теоретикалык эмес — алар ушул сыяктуу уязвимостьлор менен башталат.