TechNews
Observatory
Article

Part 2: AWS CodeBuild (Escalating Privileges via AWS CodeConnections) - Thomas PreeceAWS CodeBuild の未公式 API を利用して、GitHub や BitBucket の App Token を取得し権限を昇格させる脆弱性を発見

unpinnedSecurity-Global
https://thomaspreece.com/2026/03/23/part-2-aws-codebuild-escalating-privileges-via-aws-codeconnections
Summary
analysis llm/ollama(qwen3.5:4B) / 52s
published 2026-03-23 23:52 JST
Sources
Reddit / r/netsec
Analysis Tags
awsaws-codeconnectionsbitbucketcodebuildgithubiamprivilege-escalationsupply-chain
Manual Tags
none
Reading

Article Notes

要点
  • AWS CodeBuild の未公式 API を利用して、GitHub や BitBucket の App Token を取得し権限を昇格させる脆弱性を発見
  • 取得された Token は source code プロバイダのフル権限で動作し、ブランチ保護を無効化して組織全体を感染させる
  • 適切な SCP を設定し、特定 API 呼び出しをブロックすることで対策を行う必要がある
重要性

AWS アカウント内でのコードリポジトリへの権限昇格が可能で、千のレポジトリ規模でインフラを完全に汚染できる重大なサプライチェーン攻撃経路である。

Signals

Why It Was Selected

Buzz

今回の収集範囲では、コミュニティで強い話題信号は確認できませんでした。

Global

影響範囲が広く、個別の話題として流さず全体像で押さえる価値があります。どの領域に波及するかを見極めるためにも、今の段階で追っておく意味があります。

Context

背景と運用文脈を補って読むことで、影響の見え方が大きく変わる話題です。実装だけでなく、現場の扱い方や周辺ルールまで見ておく必要があります。