A Amazon corrigiu uma falha crítica no AWS CodeBuild que, caso fosse explorada, poderia afetar cerca de 66% dos ambientes de computação em nuvem no mundo. Embora o problema não tenha sido explorado ativamente, ele representava um risco significativo para empresas que dependem de automação e integração contínua em seus fluxos de desenvolvimento.
Segundo pesquisadores em segurança, a vulnerabilidade permite que atacantes explorem um erro de validação em pipelines automatizados. Com isso, seria possível executar builds não autorizadas e, em cenários mais graves, introduzir código malicioso em projetos amplamente utilizados.
- Leia Também: O que é passkey e por que ela pode substituir Senhas?
- Leia Também: Nova campanha de malware dissemina o RAT Remcos por meio de ataque de várias etapas no Windows
- Leia Também: A CISA alerta para a exploração ativa de uma vulnerabilidade no Gogs que permite a execução de código
Como a falha funcionava
O problema estava relacionado ao mecanismo de autenticação usado pelo AWS CodeBuild, serviço responsável por compilar e testar código automaticamente. Em vez de validar corretamente os identificadores autorizados, o sistema aceitava IDs que apenas continham partes do identificador legítimo.
Como resultado, um invasor poderia criar identificadores manipulados e enganar o processo de verificação. Assim, o pipeline aceitava requisições que deveriam ser bloqueadas, abrindo caminho para execuções indevidas.
Embora o erro parecesse simples, na prática, ele tinha grande potencial de impacto. Isso ocorre porque o CodeBuild é amplamente utilizado em projetos de código aberto e em bibliotecas essenciais para aplicações em nuvem.
Por que o risco era tão alto
Entre os projetos potencialmente afetados estava o AWS SDK for JavaScript (v3), um dos kits de desenvolvimento mais usados em aplicações que rodam na infraestrutura da Amazon. Por esse motivo, qualquer comprometimento nesse SDK poderia se espalhar rapidamente.
De acordo com estimativas citadas por especialistas, esse conjunto de bibliotecas está presente em aproximadamente 66% dos ambientes de nuvem globais. Ou seja, uma falha explorada nesse contexto poderia gerar um efeito em cadeia, semelhante a ataques históricos à cadeia de suprimentos de software.
Além disso, outras bibliotecas críticas, incluindo componentes de criptografia e infraestrutura, também utilizavam pipelines semelhantes. Portanto, o impacto potencial ia muito além de um único projeto.
Descoberta e correção da vulnerabilidade
Pesquisadores da empresa de segurança Wiz identificaram a falha durante análises de pipelines automatizados integrados ao GitHub. Durante os testes, a equipe percebeu que era possível burlar a validação criando identificadores sequenciais até que um fosse aceito indevidamente.
Assim que confirmou o problema, a Wiz notificou a Amazon. Em resposta, a AWS corrigiu a vulnerabilidade em menos de 48 horas, ajustando a lógica de validação e reforçando as regras de autenticação.
Além disso, a empresa implementou camadas adicionais de proteção para impedir que falhas semelhantes voltem a ocorrer. Segundo a Amazon, não há indícios de exploração ativa antes da correção, o que reduz o risco de impactos reais para os clientes.
Repositórios críticos estavam vulneráveis
A falha afetava quatro repositórios essenciais da AWS, sendo o mais preocupante o AWS SDK for JavaScript (aws-sdk-js-v3). Com aproximadamente 15 milhões de downloads semanais e presente em 66% de todos os ambientes cloud globalmente, esse SDK é usado por praticamente todo serviço AWS que roda JavaScript.
Os outros repositórios comprometidos eram AWS Libcrypto (biblioteca de criptografia), Amazon Corretto Crypto Provider e Registry of Open Data on AWS.
O SDK JavaScript é especialmente crítico porque está presente até mesmo no AWS Console – a interface de gerenciamento que administradores usam para controlar infraestruturas inteiras. Se o SDK fosse comprometido em um ataque real, criminosos teriam acesso ao “sistema nervoso central da nuvem”.
