<div id="readability-page-1"><div><p>亚马逊云科技近日发布了一则安全公告，确认其部分由亚马逊云科技管理的热门开源 GitHub 仓库存在配置问题。该高危漏洞被命名为 CodeBreach，可能导致恶意代码被引入仓库，甚至使依赖 AWS CodeBuild 的仓库遭到接管。</p><p>Wiz Security 的研究团队发现，一部分仓库在为 AWS CodeBuild 时，使用了正则表达式来限制可信的触发者 ID，但这些过滤规则并不充分，导致攻击者可以利用可预测获取的 actor ID 获得管理员权限。此次受影响、并对 AWS Console 供应链构成风险的仓库共有四个，分别是：AWS SDK for JavaScript v3、通用加密库 、，以及（一个可通过 AWS 资源访问的公开数据集仓库）。</p><p>Wiz 的漏洞研究员  与 Wiz 漏洞研究负责人  解释称：</p><p>具体而言，用于校验哪些 GitHub 用户可以触发构建的 ACTOR_ID 过滤规则，缺少了起始符号（^）和结束符号（$），这使得任何只要在用户 ID 中 “包含” 受信任 ID 作为子串的用户，都可以绕过限制。由于 GitHub 用户 ID 是按顺序分配的，研究人员通过创建自动化的 GitHub App，从构建缓存中捕获凭据，最终获得了受影响仓库的完整管理员权限。鉴于 AWS SDK for JavaScript 被打包进 AWS Console，一旦攻击成功，可能会危及无数 AWS 账户所依赖的控制台供应链。</p><p>亚马逊云科技在确认漏洞存在并感谢 Wiz Security 研究团队发现该问题的同时表示，其他由亚马逊云科技 管理的开源仓库并不存在类似的错误配置。受影响仓库中的问题在首次披露后的 48 小时内即已完成修复。Avrahami 与 Ohfeld 进一步指出：</p><p>随着此类攻击日益频繁，Wiz 呼吁各组织进一步加固自身的 CI/CD 流水线，确保所有基于 ACTOR_ID 的访问控制都经过严格限定与正确配置，仅允许白名单中的身份触发构建。Reddit 用户 hashkent 道：</p><p>这一事件以及近期的其他攻击，再次凸显了一个重要原则：绝不能让不受信任的贡献触发具有高权限的 CI/CD 流水线。The Duckbill Group 首席云经济学家 Corey Quinn 也称：</p><p>据披露，CodeBreach 漏洞最早由 Wiz 于 8 月 25 日向亚马逊云科技报告。亚马逊云科技随后在 8 月 27 日为存在问题的 actor ID 过滤规则补齐了锚点，并吊销了 aws-sdk-js-automation 的个人访问令牌。9 月，亚马逊云科技 还进一步加固了安全措施，以防止非特权构建通过内存转储方式访问项目凭据。不过，该事件直到 1 月 15 日才正式对外公开。</p></div></div>

<p>亚马逊云科技发布安全公告，确认其部分开源 GitHub 仓库存在高危漏洞 CodeBreach，可能导致恶意代码引入和仓库被接管。Wiz Security 发现，部分仓库的 ACTOR_ID 过滤规则不充分，攻击者可利用可预测的 ID 获得管理员权限。受影响的仓库包括 AWS SDK for JavaScript v3 等。亚马逊云科技已在 48 小时内修复问题，并表示其他仓库没有类似错误。</p>

InfoQ

Proshares Supply Chain Logistics ETF

亚马逊每日 2 倍做多 ETF - Direxion

电子商务 ETF - GlobalX

iShares US Digital Infrastructure and Real Estate ETF

线上零售 ETF - Amplify

Global X Data Center & Dgtl Infrs ETF

亚马逊每日 1 倍做空 ETF - Direxion

云计算 ETF - GlobalX

在线零售 ETF - ProShares

GraniteShares 2x Long AMZN Daily ETF

Roundhill AMZN WeeklyPay ETF

亚马逊

就差两个字符！亚马逊云科技自家 GitHub 仓库险被攻破，供应链安全亮红灯