WriteUp: Cloud Village CTF DEFCON 33
¡Una vez más, no pudimos resistir la llamada del scoreboard de un CTF! 🎯 Esta vez, participamos en el Cloud Village CTF en DEFCON 33.
¡Conseguimos resolver 13 de 25 retos y asegurar un top 10 de 146 equipos!
Blog
WriteUp: Cloud Security Championship #2 - Contain Me If You Can
El segundo reto del Cloud Security Championship organizado por Wiz se llama Contain Me If You Can. Esta vez necesitamos escapar de un entorno containerizado para obtener una flag ubicada en /flag en el filesystem del host.
WriteUp: Cloud Security Championship #1 - Perimeter Leak
El Cloud Security Championship organizado por Wiz ha lanzado su primer reto. Durante los próximos 12 meses irán publicando diferentes retos, cada uno preparado por uno de sus researchers.
Este primer reto se llama Perimeter Leak y nos indica que debemos encontrar un secreto en un bucket de S3.
aws-root-manager: Gestiona el acceso root de AWS en tu organización
En AWS, la gestión de las credenciales root siempre ha sido un punto de fricción para los administradores de organizaciones. Cada vez que se creaba una cuenta nueva debíamos configurar el MFA para el acceso root siguiendo las buenas prácticas y el modelo de madurez. Pero habilitar el MFA es un paso manual, y con AWS Organizations este problema escalaba. Podríamos ignorarlo, aplicar una SCP para bloquear acciones realizadas con el usuario root y lidiar con el check fallido que todas las herramientas de seguridad nos reportaban.
En 2023 AWS anunció que el MFA pasaría a ser obligatorio, y el momento está cerca. El 24 de Marzo de 2025 será obligatorio registrar un MFA al usar el usuario root.
Como solución a este problema, el 15 de noviembre de 2024 AWS anunció una nueva funcionalidad que nos permite manejar de forma centralizada el acceso de root en una organización sin necesidad de intervenir manualmente en cada cuenta. Pero si tenemos una gran cantidad de cuentas, realizar las acciones una a una no es lo más cómodo del mundo.
Para facilitar esta gestión, hemos creado aws-root-manager , una herramienta que permite manejar el estado de las credenciales root en todas las cuentas de una organización de manera eficiente y automatizada.
IAM policy mishaps: Case 2 - SNS
Creíais que nos habíamos olvidado de la serie de IAM? Pues es correcto, perdón por el retraso, pero aquí estamos de vuelta.
Hoy vamos a hablar sobre el servicio Amazon Simple Notification Service (SNS).
Info
Recuerda que si quieres probar directamente los ejemplos que vamos presentando echa un vistazo a nuestro repo .
Os hemos dejado preparados los diferentes escenarios en Terraform .
Import your Powerpipe results into AWS SecurityHub
Continuado con lo que vimos en Automate your Steampipe AWS configuration with AWS Organizations, hemos desarrollado una powerpipe-securityhub-importer para importar los resultados de vuestros controles en AWS SecurityHub.
Powerpipe nos permite ejecutar benchmarks que, a través de Steampipe, nos permite saber el resultado de nuestros controles.
Automate your Steampipe AWS configuration with AWS Organizations
Esta vez os traemos nuestra primera tool pública!
Si utilizáis Steampipe con vuestra organización de AWS esto os interesa. Hemos creado esta tool para automatizar la creación y el mantenimiento de los archivos de configuración necesarios para trabajar con todas las cuentas de una organización de AWS.
Deploy IAM Roles across an AWS Organization as code
En entornos con múltiples cuentas de AWS, la gestión de roles puede ser un desafío. AWS IAM nos ofrece una solución robusta para gestionarlo en cada cuenta, pero cuando se trata de implementar roles de manera consistente en todas las cuentas de una organización, la tarea puede volverse compleja.
En este post vamos a ver cómo desplegar roles de IAM de forma automática en todas las cuentas de una organización de AWS como código, usando CloudFormation, Organizations y Terraform.
WriteUp: Cloud Village CTF 2024
Ya sabéis que nos cuesta resistirnos a cualquier cosa que tenga un scoreboard y este relacionado con la nube... Y la distancia y el huso horario no iban a impedirnos darle un intento al CTF que organizaba Cloud Village en #DEFCON32 el pasado fin de semana.
IAM policy mishaps: Case 1 - S3
Continuando con la serie de posts relacionados con missconfigurations de IAM vamos a indagar un poco sobre su uso enfocado al servicio de AWS S3.
Para ello veremos las distintas formas que tenemos para controlar la seguridad del servicio y lo peligroso que es aplicar una política sin tener claro lo que hace.
Info
Si quieres probar directamente los ejemplos que vamos a presentar echa un vistazo a nuestro repo .
Os hemos dejado preparados los diferentes escenarios en Terraform .