AWS最近發布了一份安全公告，指出存在一個問題，該問題影響了一些由AWS管理的開源GitHub倉庫。這個漏洞被稱為“CodeBreach”。這個嚴重的安全漏洞可能導致惡意代碼被引入到這些倉庫中，從而利用AWS CodeBuild來操控這些倉庫。

Wiz Security的研究團隊發現，某些倉庫的AWS CodeBuild CI管道中存在配置錯誤。這些過濾器用于限制可信任的用戶身份，但實際上這些過濾器的設置并不充分，因此任何包含可信用戶身份的子字符串的用戶都可以繞過這些限制。由于GitHub上的用戶ID是連續的，研究人員通過自動化方式獲取了用戶的憑據，從而獲得了對受影響倉庫的全權管理權限。因為AWS SDK for JavaScript與AWS控制臺一起提供，所以成功的攻擊可以破壞無數AWS賬戶的控制鏈路。

雖然AWS已經確認了這一漏洞，并感謝Wiz Security研究團隊的發現，但AWS表示，其他由AWS管理的開源倉庫中并不存在類似的配置錯誤。在最初發現這個問題后，相關漏洞在48小時內就被解決了。Yuval Avrahami和Nir Ohfeld指出，這種類型的漏洞與之前的供應鏈攻擊類似，都是因為CI/CD管道的細微配置錯誤導致的。就在去年7月，一個攻擊者利用了類似的漏洞，對Amazon Q VS Code擴展程序的用戶發動了攻擊。

隨著此類攻擊越來越常見，Wiz建議各組織加強其CI/CD管道的安全性，確保使用ACTOR_ID過濾器的訪問權限僅限于指定的身份。Reddit上的用戶hashkent評論道：“看來保護源代碼變得越來越困難了。”

Corey Quinn指出，這是過去一年里第二次出現類似的CodeBuild漏洞。他建議，如果AWS無法自行正確配置安全措施，那么企業也應該仔細檢查自己的安全措施是否得當。

關于CodeBreach漏洞的問題，Wiz于8月25日向AWS報告了此事。AWS在8月27日撤銷了aws-sdk-js-automation的個人訪問令牌。此外，9月份還采取了進一步的措施來防止非特權用戶訪問項目憑據。不過，這一問題的公開報道直到1月15日才發生。