AWS - CodeBuild Accès non authentifié

Reading time: 3 minutes

CodeBuild

Pour plus d'informations, consultez cette page :

AWS - Codebuild Enum

buildspec.yml

Si vous compromettez l'accès en écriture à un dépôt contenant un fichier nommé buildspec.yml, vous pourriez backdoor ce fichier, qui spécifie les commandes qui vont être exécutées à l'intérieur d'un projet CodeBuild et exfiltrate les secrets, compromettre ce qui est fait et aussi compromettre les CodeBuild IAM role credentials.

Notez que même s'il n'existe pas de fichier buildspec.yml mais que vous savez que Codebuild est utilisé (ou un CI/CD différent), modifier du code légitime qui va être exécuté peut aussi permettre d'obtenir, par exemple, un reverse shell.

Pour des informations connexes, consultez la page expliquant comment attaquer Github Actions (similaire à ceci) :

Abusing Github Actions

Self-hosted GitHub Actions runners dans AWS CodeBuild

Comme indiqué dans la documentation, il est possible de configurer CodeBuild pour exécuter des self-hosted Github actions lorsqu'un workflow est déclenché dans un repo Github configuré. Cela peut être détecté en vérifiant la configuration du projet CodeBuild parce que le Event type doit contenir : WORKFLOW_JOB_QUEUED et dans un Github Workflow parce qu'il sélectionnera un runner self-hosted comme ceci :

runs-on: codebuild-<project-name>-${{ github.run_id }}-${{ github.run_attempt }}

Cette nouvelle relation entre Github Actions et AWS crée un autre moyen de compromettre AWS depuis Github, car le code dans Github s'exécutera dans un projet CodeBuild avec un IAM role attaché.