Два пропущенных символа в регулярном выражении едва не скомпрометировали инфраструктуру AWS

Морда 16 января

Два пропущенных символа в регулярном выражении едва не скомпрометировали инфраструктуру AWS

Исследователи Wiz Research обнаружили серьёзную уязвимость поставочной цепочки под названием CodeBreach в сервисе AWS CodeBuild. Она затрагивала AWS JavaScript SDK, который лежит в основе консоли управления AWS Console.

Проблема возникла из-за ошибки в фильтре безопасности на базе регулярного выражения (Regex): отсутствие двух символов якоря сделало паттерн неполным, что позволяло обходить проверку и выполнять произвольный код.

Из-за этой ошибки злоумышленник мог внедрить вредоносный код в среду сборки, утекли привилегированные учётные данные и захватить репозиторий ПО. В демонстрации исследователи успешно проникли в build-окружение и получили доступ к учётным данным. Потенциальный масштаб атаки оценивается выше инцидента SolarWinds: компрометация могла затронуть миллионы компаний и пользователей AWS.

AWS получила уведомление об уязвимости 25 августа 2025 года и оперативно отреагировала: основная проблема устранена в течение 48 часов, за чем последовали глобальные улучшения безопасности. Пользователям не потребовалось предпринимать действий — очистка выполнена силами Amazon.

Для предотвращения подобных инцидентов Wiz Research рекомендует активировать в CodeBuild механизм Pull Request Comment Approval. Это обеспечит запуск автоматизированных сборок только после проверки и одобрения доверенным человеком, добавив дополнительный уровень контроля.