<div id="readability-page-1"><div><p>亞馬遜雲科技近日發佈了一則安全公告，確認其部分由亞馬遜雲科技管理的熱門開源 GitHub 倉庫存在配置問題。該高危漏洞被命名為 CodeBreach，可能導致惡意代碼被引入倉庫，甚至使依賴 AWS CodeBuild 的倉庫遭到接管。</p><p>Wiz Security 的研究團隊發現，一部分倉庫在為 AWS CodeBuild 時，使用了正則表達式來限制可信的觸發者 ID，但這些過濾規則並不充分，導致攻擊者可以利用可預測獲取的 actor ID 獲得管理員權限。此次受影響、並對 AWS Console 供應鏈構成風險的倉庫共有四個，分別是：AWS SDK for JavaScript v3、通用加密庫 、，以及（一個可通過 AWS 資源訪問的公開數據集倉庫）。</p><p>Wiz 的漏洞研究員  與 Wiz 漏洞研究負責人  解釋稱：</p><p>具體而言，用於校驗哪些 GitHub 用户可以觸發構建的 ACTOR_ID 過濾規則，缺少了起始符號（^）和結束符號（$），這使得任何只要在用户 ID 中 “包含” 受信任 ID 作為子串的用户，都可以繞過限制。由於 GitHub 用户 ID 是按順序分配的，研究人員通過創建自動化的 GitHub App，從構建緩存中捕獲憑據，最終獲得了受影響倉庫的完整管理員權限。鑑於 AWS SDK for JavaScript 被打包進 AWS Console，一旦攻擊成功，可能會危及無數 AWS 賬户所依賴的控制枱供應鏈。</p><p>亞馬遜雲科技在確認漏洞存在並感謝 Wiz Security 研究團隊發現該問題的同時表示，其他由亞馬遜雲科技 管理的開源倉庫並不存在類似的錯誤配置。受影響倉庫中的問題在首次披露後的 48 小時內即已完成修復。Avrahami 與 Ohfeld 進一步指出：</p><p>隨着此類攻擊日益頻繁，Wiz 呼籲各組織進一步加固自身的 CI/CD 流水線，確保所有基於 ACTOR_ID 的訪問控制都經過嚴格限定與正確配置，僅允許白名單中的身份觸發構建。Reddit 用户 hashkent 道：</p><p>這一事件以及近期的其他攻擊，再次凸顯了一個重要原則：絕不能讓不受信任的貢獻觸發具有高權限的 CI/CD 流水線。The Duckbill Group 首席雲經濟學家 Corey Quinn 也稱：</p><p>據披露，CodeBreach 漏洞最早由 Wiz 於 8 月 25 日向亞馬遜雲科技報告。亞馬遜雲科技隨後在 8 月 27 日為存在問題的 actor ID 過濾規則補齊了錨點，並吊銷了 aws-sdk-js-automation 的個人訪問令牌。9 月，亞馬遜雲科技 還進一步加固了安全措施，以防止非特權構建通過內存轉儲方式訪問項目憑據。不過，該事件直到 1 月 15 日才正式對外公開。</p></div></div>

<p>亞馬遜雲科技發佈安全公告，確認其部分開源 GitHub 倉庫存在高危漏洞 CodeBreach，可能導致惡意代碼引入和倉庫被接管。Wiz Security 發現，部分倉庫的 ACTOR_ID 過濾規則不充分，攻擊者可利用可預測的 ID 獲得管理員權限。受影響的倉庫包括 AWS SDK for JavaScript v3 等。亞馬遜雲科技已在 48 小時內修復問題，並表示其他倉庫沒有類似錯誤。</p>

InfoQ

Proshares Supply Chain Logistics ETF

亞馬遜每日 2 倍做多 ETF - Direxion

電子商務 ETF - GlobalX

iShares US Digital Infrastructure and Real Estate ETF

線上零售 ETF - Amplify

Global X Data Center & Dgtl Infrs ETF

亞馬遜每日 1 倍做空 ETF - Direxion

雲計算 ETF - GlobalX

在線零售 ETF - ProShares

GraniteShares 2x Long AMZN Daily ETF

Roundhill AMZN WeeklyPay ETF

亞馬遜

就差兩個字符！亞馬遜雲科技自家 GitHub 倉庫險被攻破，供應鏈安全亮紅燈