أعلنت شركة Wiz للأمن السحابي عن اكتشاف ثغرة خطيرة في خدمة AWS CodeBuild التابعة لأمازون، أُطلق عليها اسم CodeBreach، كان من الممكن أن تسمح بالسيطرة الكاملة على مستودعات GitHub الخاصة بـAWS، بما في ذلك مكتبة AWS JavaScript SDK، ما يهدد كل بيئة تعتمد على خدمات AWS.
الثغرة تم إصلاحها في سبتمبر 2025 بعد إفصاح مسؤول في أغسطس من نفس العام، وأكدت أمازون أنها لم تُستغل في الهجمات الواقعية.
جذور المشكلة وآلية الاستغلال
الثغرة تعود إلى ضعف في آليات CI/CD pipelines، حيث يمكن لمهاجم غير موثّق اختراق بيئة البناء، تسريب بيانات اعتماد حساسة مثل رموز GitHub الإدارية، ثم استخدامها لدفع تغييرات خبيثة إلى المستودعات.
المشكلة ارتبطت بفلاتر webhook التي تُستخدم لتقييد الأحداث التي تُشغّل عملية البناء. أربعة مشاريع مفتوحة المصدر تابعة لـAWS تأثرت بالثغرة:
- aws-sdk-js-v3
- aws-lc
- amazon-corretto-crypto-provider
- awslabs/open-data-registry
الخلل كان في أن أنماط regex المستخدمة للتحقق من معرفات المستخدم (ACTOR_ID) لم تتضمن محددات البداية والنهاية (^ و$)، ما سمح لأي معرف مستخدم يحتوي على سلسلة فرعية مطابقة بتجاوز الفلتر وتشغيل عملية البناء.
كيف يمكن استغلال الثغرة؟
بما أن GitHub يُنشئ معرفات المستخدم بشكل تسلسلي، تمكن الباحثون من التنبؤ بأن معرفات جديدة ستتجاوز معرفات موثوقة كل بضعة أيام. باستخدام تطبيقات GitHub لإنشاء مستخدمين آليين، يمكن للمهاجم توليد معرفات مستهدفة مثل 226755743، ثم تشغيل عملية بناء والحصول على بيانات اعتماد حساسة مثل Personal Access Token (PAT) بامتيازات إدارية كاملة.
هذا الوصول يمكّن المهاجم من:
- دفع كود خبيث إلى الفرع الرئيسي.
- الموافقة على طلبات الدمج.
- استخراج أسرار المستودعات.
- التمهيد لهجمات سلسلة توريد واسعة النطاق.
إجراءات أمازون والوقاية المستقبلية
أمازون أكدت أن المشكلة كانت إعدادات خاطئة خاصة بالمشاريع وليست خللاً في خدمة CodeBuild نفسها. الشركة قامت بتدوير بيانات الاعتماد، تعزيز حماية عمليات البناء، وضبط الفلاتر بشكل صحيح.
لتفادي مثل هذه المخاطر، ينصح الخبراء بـ:
- تفعيل بوابة الموافقة على التعليقات في طلبات الدمج.
- استخدام مشغلات CodeBuild المستضافة لإدارة عمليات البناء.
- التأكد من أن أنماط regex في الفلاتر مُثبتة ببداية ونهاية.
- إنشاء رموز وصول شخصية (PAT) فريدة لكل مشروع مع تقليل صلاحياتها.
- استخدام حساب GitHub غير مميز لعمليات التكامل مع CodeBuild.
سياق أوسع حول أمن CI/CD
هذه الثغرة ليست الأولى التي تكشف هشاشة بيئات CI/CD. أبحاث سابقة من Sysdig وOrca Security أظهرت أن سوء إعدادات GitHub Actions، خصوصاً مع مشغل pull_request_target، يمكن أن يؤدي إلى تسريب رموز وصول حساسة وتنفيذ تعليمات برمجية عن بُعد. هذه الظاهرة أُطلق عليها اسم pull_request_nightmare، وتؤكد أن بيئات التكامل المستمر تمثل هدفاً رئيسياً للمهاجمين بسبب تعقيدها واعتمادها على بيانات غير موثوقة وامتيازات عالية.
