Una vulnerabilidad crítica en la consola de AWS señalada por investigadores de seguridad podría haber provocado un ataque masivo a la cadena de suministro. según un informe publicado el jueves por Wiz.
La vulnerabilidad, denominada CodeBreach, podría haber permitido a un atacante apoderarse de los repositorios centrales de AWS GitHub, específicamente el SDK de JavaScript de AWS, que alimenta la consola de AWS y está instalado en aproximadamente dos tercios de los entornos de nube, según Wiz.
Los investigadores de Wiz revelaron la falla a AWS en agosto de 2025 y la compañía trabajó de inmediato para solucionar el problema. Se tomaron medidas de refuerzo específicas para prevenir tal ataque, incluida la implementación de una puerta de compilación de aprobación de comentarios de solicitud de extracción, que proporciona a las organizaciones una forma segura de evitar compilaciones que no son de confianza, según Wiz.
El problema estaba relacionado con una falla sutil en la forma en que las canalizaciones de CI de AWS CodeBuild de los repositorios manejaban los activadores de compilación, según Yuval Avrahami, investigador de vulnerabilidades de Wiz. Sólo dos caracteres faltantes en un filtro Regex podrían permitir que un atacante no autenticado comprometa el entorno de compilación y luego se apodere de los repositorios de código.
«Una vez que tuvieron el control de los repositorios, los atacantes podrían haber inyectado puertas traseras en el SDK para recopilar credenciales y exfiltrar datos confidenciales de los millones de aplicaciones que lo utilizan, o apuntar a la propia consola de AWS para manipular la infraestructura de la nube», dijo Avrahami a Cybersecurity Dive por correo electrónico. «Podría haber escalado potencialmente a un compromiso en toda la plataforma que afectó a los usuarios de AWS en todo el mundo».
AWS confirmó que tomó medidas inmediatas para solucionar el problema después de que los investigadores de Wiz revelaran la configuración incorrecta en agosto de 2025.
«AWS investigó de inmediato la investigación de Wiz y descubrió que no había ningún impacto en la confidencialidad o integridad de ningún entorno del cliente o servicio de AWS. Para mitigar cualquier posible amenaza futura relacionada con los hallazgos, implementamos soluciones adicionales que incluyen rotaciones de credenciales y auditorías de otros repositorios de código abierto administrados por AWS.
AWS emitió un boletín de seguridad describiendo una serie de pasos que tomó relacionado con el riesgo potencial.
Los investigadores examinaron este problema en particular después de un intento de ataque a la cadena de suministro en la extensión Amazon Q VS Code. Esa cuestión fue abordada en un aviso de julio de 2025. No hay evidencia de que la configuración incorrecta actual se haya utilizado en un ataque.
Los investigadores de Wiz dijeron que la vulnerabilidad plantea un riesgo similar al Cadena de suministro de Nx S1ngularidad ataques que tuvieron lugar en agosto de 2025. Ese ataque implicó la publicación de versiones maliciosas del paquete del sistema de compilación Nx.
Los analistas de seguridad dijeron que el descubrimiento revela una nueva y peligrosa dimensión del riesgo potencial de la cadena de suministro.
«Junto con el incidente de Amazon Q, donde un webhook defectuoso permitió la inyección de código no autorizado en una extensión VS Code lanzada por AWS, estos defectos exponen cómo la lógica de canalización pasada por alto puede crear riesgos masivos, evitando las defensas tradicionales como la seguridad de credenciales o la detección de malware», dijo Janet Worthington, analista senior de seguridad y riesgos en Forrester a Cybersecurity Dive.
Los usuarios no necesitan realizar ninguna acción inmediata, pero los investigadores de Wiz sugieren que los usuarios creen un token de acceso personal único para cada proyecto de CodeBuild. Los usuarios también deben habilitar la puerta de compilación de aprobación de comentarios de solicitud de extracción mencionada anteriormente.
Nota del editor: actualizaciones con comentarios de AWS, Forrester.
Fuente