AWS + CVE-2024-6387 (RCE vulnerability in OpenSSH)
Amazon Linux 2 - Not Affected ✅
Amazon Linux 2023 - Pending Fix ⚠️
https://explore.alas.aws.amazon.com/CVE-2024-6387.html
CVE-2024-6387 description:
https://www.wiz.io/blog/cve-2024-6387-critical-rce-openssh
#security
Amazon Linux 2 - Not Affected ✅
Amazon Linux 2023 - Pending Fix ⚠️
https://explore.alas.aws.amazon.com/CVE-2024-6387.html
CVE-2024-6387 description:
https://www.wiz.io/blog/cve-2024-6387-critical-rce-openssh
Based on what is currently known about this vulnerability, Wiz Research estimates that widespread exploitation is unlikely.
The vulnerability has only been proven as exploitable under lab conditions on 32-bit Linux/glibc systems with ASLR. Exploitation on 64-bit systems has not been proven but is believed to be possible.
#security
wiz.io
RCE vulnerability in OpenSSH: everything you need to know | Wiz Blog
Detect and mitigate CVE-2024-6387, a remote code execution vulnerability in OpenSSH. Organizations are advised to patch urgently.
😍3👻1
Полезная ссылочка для вечных дискуссий о "небезопасности облаков".
https://www.abc.net.au/news/2024-07-04/amazon-contract-top-secret-australian-military-intelligence/104057196
#security
https://www.abc.net.au/news/2024-07-04/amazon-contract-top-secret-australian-military-intelligence/104057196
#security
www.abc.net.au
Amazon wins $2b contract to store 'top-secret' Australian military intelligence
American technology giant Amazon will establish a "top-secret" data cloud to store classified Australian military and intelligence information under a partnership with the federal government.
👍8
AWS for DORA (Digital Operational Resilience Act) =
• WAF (Well-Architected Framework)
• IAM
• KMS
• Shield
• Config
• Backup
• CloudTrail
• GuardDuty
• CloudWatch
• Security Hub
• Resilience Hub
• Audit Manager
• Trusted Advisor
https://d1.awsstatic.com/fs-compliance-center/pdf-summaries/AWS-User-Guide-to-the-Digital-Operational-Resilience-Act.pdf
#security
• WAF (Well-Architected Framework)
• IAM
• KMS
• Shield
• Config
• Backup
• CloudTrail
• GuardDuty
• CloudWatch
• Security Hub
• Resilience Hub
• Audit Manager
• Trusted Advisor
https://d1.awsstatic.com/fs-compliance-center/pdf-summaries/AWS-User-Guide-to-the-Digital-Operational-Resilience-Act.pdf
#security
👍10
Длинный список реально хороших ресурсов по AWS security:
https://medium.com/@goodycyb/practical-checklist-for-aws-cloud-security-engineer-3271f9afb338
#security
https://medium.com/@goodycyb/practical-checklist-for-aws-cloud-security-engineer-3271f9afb338
#security
Medium
Practical Checklist for AWS Cloud Security Engineers — 2026
This blog is regularly updated with new resources that are useful for AWS Cloud Security Engineers.
👍9
Student SCP policy — политика для защиты аккаунтов, предназначенных для изучения AWS.
Покрыты все нужные сервисы, запрещены неадекватные действия по биллингу, запрещены действия, которые могут иметь долгосрочный и неотвратимый характер.
Student SCP policy не имеет ограничений на адекватные действия и создание любых ресурсов, что могут потребоваться для изучения. Поэтому предполагается обязательная настройка AWS Budgets и алертов.
Если требуется более жёсткие ограничений, то нужно использовать Allow List Approach — вместо запрещения проблемных лишь разрешать нужные.
#security #organizations #scp
Покрыты все нужные сервисы, запрещены неадекватные действия по биллингу, запрещены действия, которые могут иметь долгосрочный и неотвратимый характер.
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "StudentSCPpolicy",
"Effect": "Deny",
"Action": [
"athena:CreateCapacityReservation",
"aws-marketplace:AcceptAgreementRequest",
"aws-marketplace:CreateAgreementRequest",
"aws-marketplace:CreatePrivateMarketplaceRequests",
"aws-marketplace:Subscribe",
"backup:CreateLogicallyAirGappedBackupVault",
"backup:PutBackupVaultLockConfiguration",
"bedrock:CreateFoundationModelAgreement",
"bedrock:CreateProvisionedModelThroughput",
"cloudfront:CreateSavingsPlan",
"devicefarm:PurchaseOffering",
"directconnect:ConfirmCustomerAgreement",
"dynamodb:PurchaseReservedCapacityOfferings",
"ec2:AcceptReservedInstancesExchangeQuote",
"ec2:CreateCapacityReservation",
"ec2:CreateCapacityReservationFleet",
"ec2:CreateReservedInstancesListing",
"ec2:LockSnapshot",
"ec2:PurchaseCapacityBlock",
"ec2:PurchaseHostReservation",
"ec2:PurchaseReservedInstancesOffering",
"ec2:PurchaseScheduledInstances",
"eks:CreateEksAnywhereSubscription",
"elasticache:PurchaseReservedCacheNodesOffering",
"elemental-appliances-software:CreateOrderV1",
"elemental-appliances-software:SubmitOrderV1",
"es:PurchaseReservedElasticsearchInstanceOffering",
"es:PurchaseReservedInstanceOffering",
"freertos:CreateSubscription",
"glacier:CompleteVaultLock",
"glacier:PurchaseProvisionedCapacity",
"groundstation:ReserveContact",
"iottwinmaker:UpdatePricingPlan",
"iq:ApprovePaymentRequest",
"mediaconnect:PurchaseOffering",
"medialive:PurchaseOffering",
"memorydb:PurchaseReservedNodesOffering",
"organizations:LeaveOrganization",
"organizations:DeleteOrganization",
"organizations:RemoveAccountFromOrganization",
"outposts:CreateOrder",
"panorama:ProvisionDevice",
"quicksight:Subscribe",
"quicksight:UpdateSPICECapacityConfiguration",
"rbin:LockRule",
"rds:PurchaseReservedDBInstancesOffering",
"redshift:AcceptReservedNodeExchange",
"redshift:PurchaseReservedNodeOffering",
"route53domains:AcceptDomainTransferFromAnotherAwsAccount",
"route53domains:RegisterDomain",
"route53domains:RenewDomain",
"route53domains:TransferDomain",
"route53domains:TransferDomainToAnotherAwsAccount",
"s3:PutBucketObjectLockConfiguration",
"s3:PutObjectLegalHold",
"s3:PutObjectRetention",
"s3-object-lambda:PutObjectLegalHold",
"s3-object-lambda:PutObjectRetention",
"savingsplans:CreateSavingsPlan",
"shield:CreateSubscription",
"snowball:CreateJob",
"snowball:CreateLongTermPricing"
],
"Resource": "*"
}
]
}Student SCP policy не имеет ограничений на адекватные действия и создание любых ресурсов, что могут потребоваться для изучения. Поэтому предполагается обязательная настройка AWS Budgets и алертов.
Если требуется более жёсткие ограничений, то нужно использовать Allow List Approach — вместо запрещения проблемных лишь разрешать нужные.
#security #organizations #scp
🔥26👍6
Пароли нонче в моде от 16 символов.
https://www.cisa.gov/secure-our-world/require-strong-passwords
#security
https://www.cisa.gov/secure-our-world/require-strong-passwords
#security
Cybersecurity and Infrastructure Security Agency CISA
Require Strong Passwords | CISA
👍6🤯6
AWS VDP (Vulnerability Disclosure Program) is a standardized pathway to allow you to disclose vulnerabilities to AWS.
https://hackerone.com/aws_vdp
This is not a bug bounty but it has private bug bounty programs.
#security #VDP #BugBounty
https://hackerone.com/aws_vdp
This is not a bug bounty but it has private bug bounty programs.
#security #VDP #BugBounty
HackerOne
AWS VDP - Vulnerability Disclosure Program | HackerOne
The AWS VDP Vulnerability Disclosure Program enlists the help of the hacker community at HackerOne to make AWS VDP more secure. HackerOne is the #1 hacker-powered security platform, helping organizations find and fix critical vulnerabilities before they can…
🎉10👍1
fwd:cloudsec Europe 2024
https://www.youtube.com/playlist?list=PLCPCP1pNWD7Og_iduC9DzLo-9fH389_1y
P.S. Отдельно советую посмотреть Build Your Own CloudTrail, где про CEDAR, но не занудно, а интересно.
#security
https://www.youtube.com/playlist?list=PLCPCP1pNWD7Og_iduC9DzLo-9fH389_1y
P.S. Отдельно советую посмотреть Build Your Own CloudTrail, где про CEDAR, но не занудно, а интересно.
#security
YouTube
fwd:cloudsec Europe 2024
fwd:cloudsec is a non-profit conference on cloud security. At this conference you can expect discussions about all the major cloud platforms, both attack and...
👍4❤3
Безопасность — это деньги. Лайфхак от CISO.
🔹 CISO (руководитель отдела информационной безопасности) Star Health (одна из крупнейших страховых компаний в Индии) продал китайскому хакеру доступ в систему за 43k$.
🔸 Хакер успел скачать 5ТБ данных, прежде чем его креды перестали работать.
🔹 На возмущения хакера был получен ответ, что руководство тоже хочет свою долю и ценник за доступ вырос до 150k$.
🔸 В ответ хакер потребовал свои деньги обратно, иначе он выложит скачанное.
🔹 Договориться не получилось и хакер слил данные 31 миллиона индийских граждан в публичный доступ.
Первоисточник:
https://x.com/deedydas/status/1844192307823902978
Какая мораль у этой истории? Внедряйте best practices в области безопасностии требуйте свою долю, чтобы даже CISO не имел доступ к приватным данным.
#security
🔹 CISO (руководитель отдела информационной безопасности) Star Health (одна из крупнейших страховых компаний в Индии) продал китайскому хакеру доступ в систему за 43k$.
🔸 Хакер успел скачать 5ТБ данных, прежде чем его креды перестали работать.
🔹 На возмущения хакера был получен ответ, что руководство тоже хочет свою долю и ценник за доступ вырос до 150k$.
🔸 В ответ хакер потребовал свои деньги обратно, иначе он выложит скачанное.
🔹 Договориться не получилось и хакер слил данные 31 миллиона индийских граждан в публичный доступ.
Первоисточник:
https://x.com/deedydas/status/1844192307823902978
Какая мораль у этой истории? Внедряйте best practices в области безопасности
#security
🤯22🔥4👍2💯1
Data perimeter on AWS + RCP:
https://aws.amazon.com/identity/data-perimeters-on-aws/
Updated whitepaper:
https://docs.aws.amazon.com/whitepapers/latest/building-a-data-perimeter-on-aws/
#security
https://aws.amazon.com/identity/data-perimeters-on-aws/
Updated whitepaper:
https://docs.aws.amazon.com/whitepapers/latest/building-a-data-perimeter-on-aws/
#security
RCP policy для защиты от переключения извне в любую IAM Role любого вашего AWS аккаунта вашей AWS Organization:
Данная RCP жёстко убивает любые попытки взломать любой ваш аккаунт на уровне IAM. В том числе возможности оставить себе "дырочку" ходить в свой аккаунт для уволившихся сотрудников через шаринг переключения в IAM Role из какого-то AWS аккаунта.
#RCP #IAM #security
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Principal": "*",
"Action": "sts:AssumeRole",
"Resource": "*",
"Condition": {
"StringNotEqualsIfExists": {
"aws:PrincipalOrgID": "o-012345aabb"
},
"BoolIfExists": {
"aws:PrincipalIsAWSService": "false"
}
}
}
]
}Данная RCP жёстко убивает любые попытки взломать любой ваш аккаунт на уровне IAM. В том числе возможности оставить себе "дырочку" ходить в свой аккаунт для уволившихся сотрудников через шаринг переключения в IAM Role из какого-то AWS аккаунта.
#RCP #IAM #security
👍23🔥11
Постквантовая криптография наступает/-ила
Тема PQC (Post-Quantum Cryptography) сильно продвинулась в 2024-м году. Во-первых, 2024-м году NIST утвердил три главных алгоритма, с которыми предстоить жить, внедрять, переходить в будущем. Сложные названия переименовали для простоты.
◽ ML-KEM (Module-Lattice Key-Encapsulation Mechanism) — бывший CRYSTALS-Kyber
◽ ML-DSA (Module-Lattice Digital Signature) — бывший CRYSTALS-Dilithium
◽ SLH-DSA (Stateless Hash Digital Signature) — бывший Sphincs+
Во время re:Invent 2024 вышел достаточно объёмный план перехода AWS на PQC по всем фронтам:
https://aws.amazon.com/blogs/security/aws-post-quantum-cryptography-migration-plan/
Кто впервые слышит про PQC, то кратко — с прогрессом в области квантовых вычислений можно будет взламывать подавляющее большинство привычных методов шифрования на ура. Некоторые утверждают, что это свершившийся факт ещё пару лет назад.
Для простоты, если вы используете как бы безопасный сейчас TLS 1.2, то в недалёком будущем любой дуракиз спецслужб с квантовым компьютером, имеющим достаточное количество кубит, сделает это на лету. И даже если это будет через десяток лет (и даже не один), то проблема в том, что уже сейчас можно записать, чтобы после расшифровать.
Поэтому так форсируется переход на алгоритмы, которые не получится взломать даже с помощью самых суровых квантовых компьютеров.
Интересно, что некоторые (безопасники Австралии) бегут впереди PQC-паровоза и уже сейчас предупреждают, что самые ходовые алгоритмы шифрования будут запрещены к использованию после 2030-го года:
🔹 AES-128 и AES-192
🔸 RSA — все
🔹 SHA-224 и SHA-256
🔸 HMAC-SHA256
🔹 DH и ECDH — все
🔸 ECDSA — все
Такие же планы есть у NIST, лишь на пяток лет позже. Уверен, что AWS внедрит это ещё раньше. Поэтому стоит держать в голове уже сейчас, выбирая себе допустимые алгоритмы шифрования, ежели у вас серьёзный по этой части проект.
Интересно отметить, что Google Chrome начиная с 131-й версии (которая должна быть у вас на момент написания поста) поддерживает ML-KEM.
Полезные ссылки:
https://aws.amazon.com/security/post-quantum-cryptography/
https://csrc.nist.gov/news/2024/postquantum-cryptography-fips-approved
#PQC #security
Тема PQC (Post-Quantum Cryptography) сильно продвинулась в 2024-м году. Во-первых, 2024-м году NIST утвердил три главных алгоритма, с которыми предстоить жить, внедрять, переходить в будущем. Сложные названия переименовали для простоты.
◽ ML-KEM (Module-Lattice Key-Encapsulation Mechanism) — бывший CRYSTALS-Kyber
◽ ML-DSA (Module-Lattice Digital Signature) — бывший CRYSTALS-Dilithium
◽ SLH-DSA (Stateless Hash Digital Signature) — бывший Sphincs+
Во время re:Invent 2024 вышел достаточно объёмный план перехода AWS на PQC по всем фронтам:
https://aws.amazon.com/blogs/security/aws-post-quantum-cryptography-migration-plan/
Кто впервые слышит про PQC, то кратко — с прогрессом в области квантовых вычислений можно будет взламывать подавляющее большинство привычных методов шифрования на ура. Некоторые утверждают, что это свершившийся факт ещё пару лет назад.
Для простоты, если вы используете как бы безопасный сейчас TLS 1.2, то в недалёком будущем любой дурак
Поэтому так форсируется переход на алгоритмы, которые не получится взломать даже с помощью самых суровых квантовых компьютеров.
Интересно, что некоторые (безопасники Австралии) бегут впереди PQC-паровоза и уже сейчас предупреждают, что самые ходовые алгоритмы шифрования будут запрещены к использованию после 2030-го года:
🔹 AES-128 и AES-192
🔸 RSA — все
🔹 SHA-224 и SHA-256
🔸 HMAC-SHA256
🔹 DH и ECDH — все
🔸 ECDSA — все
Такие же планы есть у NIST, лишь на пяток лет позже. Уверен, что AWS внедрит это ещё раньше. Поэтому стоит держать в голове уже сейчас, выбирая себе допустимые алгоритмы шифрования, ежели у вас серьёзный по этой части проект.
Интересно отметить, что Google Chrome начиная с 131-й версии (которая должна быть у вас на момент написания поста) поддерживает ML-KEM.
Полезные ссылки:
https://aws.amazon.com/security/post-quantum-cryptography/
https://csrc.nist.gov/news/2024/postquantum-cryptography-fips-approved
#PQC #security
Amazon
AWS post-quantum cryptography migration plan | Amazon Web Services
Amazon Web Services (AWS) is migrating to post-quantum cryptography (PQC). Like other security and compliance features in AWS, we will deliver PQC as part of our shared responsibility model. This means that some PQC features will be transparently enabled…
👍14🔥5🤯4
RCP (Resource control policies) examples:
https://github.com/aws-samples/data-perimeter-policy-examples/tree/main/resource_control_policies
◽ identity_perimeter_rcp – Enforces identity perimeter controls on resources within your Organizations organization.
◽ network_perimeter_rcp – Enforces network perimeter controls on resources within your Organizations organization.
◽ data_perimeter_governance_rcp – Includes controls for protecting data perimeter controls’ dependencies, such as session tags used to control their scope.
Note that the RCP policy do not grant any permissions; they only restrict access by explicitly denying specific data access patterns. You still have to grant appropriate permissions with explicit
#RCP #security
https://github.com/aws-samples/data-perimeter-policy-examples/tree/main/resource_control_policies
◽ identity_perimeter_rcp – Enforces identity perimeter controls on resources within your Organizations organization.
◽ network_perimeter_rcp – Enforces network perimeter controls on resources within your Organizations organization.
◽ data_perimeter_governance_rcp – Includes controls for protecting data perimeter controls’ dependencies, such as session tags used to control their scope.
Note that the RCP policy do not grant any permissions; they only restrict access by explicitly denying specific data access patterns. You still have to grant appropriate permissions with explicit
Allow statements in identity-based or resource-based policies.#RCP #security
GitHub
data-perimeter-policy-examples/resource_control_policies at main · aws-samples/data-perimeter-policy-examples
Example policies demonstrating how to implement a data perimeter on AWS. - aws-samples/data-perimeter-policy-examples
👍2🔥1
Стыд и скрам:
https://www.wiz.io/blog/wiz-research-uncovers-exposed-deepseek-database-leak
#security
Within minutes, we found a publicly accessible ClickHouse database linked to DeepSeek, completely open and unauthenticated, exposing sensitive data. It was hosted at oauth2callback.deepseek.com:9000 and dev.deepseek.com:9000.
https://www.wiz.io/blog/wiz-research-uncovers-exposed-deepseek-database-leak
#security
wiz.io
Wiz Research Uncovers Exposed DeepSeek Database Leaking Sensitive Information, Including Chat History | Wiz Blog
A publicly accessible database belonging to DeepSeek allowed full control over database operations, including the ability to access internal data. The exposure includes over a million lines of log streams with highly sensitive information.
🤡24🤣2😱1🗿1
Preventing Data Leaks in RAG Pipelines with Bedrock
🔹 Securing the RAG Ingestion Pipeline
https://aws.amazon.com/blogs/security/securing-the-rag-ingestion-pipeline-filtering-mechanisms/
🔹 Hardening the RAG Chatbot Architecture
https://aws.amazon.com/blogs/security/hardening-the-rag-chatbot-architecture-powered-by-amazon-bedrock-blueprint-for-secure-design-and-anti-pattern-migration/
🔹 Building Secure and Scalable RAG Applications with Bedrock
https://aws.amazon.com/blogs/machine-learning/building-scalable-secure-and-reliable-rag-applications-using-amazon-bedrock-knowledge-bases/
#Bedrock #security
🔹 Securing the RAG Ingestion Pipeline
https://aws.amazon.com/blogs/security/securing-the-rag-ingestion-pipeline-filtering-mechanisms/
🔹 Hardening the RAG Chatbot Architecture
https://aws.amazon.com/blogs/security/hardening-the-rag-chatbot-architecture-powered-by-amazon-bedrock-blueprint-for-secure-design-and-anti-pattern-migration/
🔹 Building Secure and Scalable RAG Applications with Bedrock
https://aws.amazon.com/blogs/machine-learning/building-scalable-secure-and-reliable-rag-applications-using-amazon-bedrock-knowledge-bases/
#Bedrock #security
Amazon
Securing the RAG ingestion pipeline: Filtering mechanisms | Amazon Web Services
Retrieval-Augmented Generative (RAG) applications enhance the responses retrieved from large language models (LLMs) by integrating external data such as downloaded files, web scrapings, and user-contributed data pools. This integration improves the models’…
👍3
Comparison of different WAFs
◽️ AWS WAF
◽️ CloudFlare WAF
◽️ Google Cloud Armor
◽️ F5
◽️ Fortinet FortiWeb
◽️ Imperva Cloud WAF
◽️ Microsoft Azure WAF
◽️ NGINX ModSecurity
◽️ open-appsec
https://www.openappsec.io/post/best-waf-solutions-in-2024-2025-real-world-comparison
To make it easier to understand, I have added clearer captions to the graph.
#security
◽️ AWS WAF
◽️ CloudFlare WAF
◽️ Google Cloud Armor
◽️ F5
◽️ Fortinet FortiWeb
◽️ Imperva Cloud WAF
◽️ Microsoft Azure WAF
◽️ NGINX ModSecurity
◽️ open-appsec
https://www.openappsec.io/post/best-waf-solutions-in-2024-2025-real-world-comparison
To make it easier to understand, I have added clearer captions to the graph.
#security
👍9
AWS Trust Center — single source of truth for security and compliance.
https://aws.amazon.com/trust-center/
Like Amazon Builders' Library but for security.
#security
https://aws.amazon.com/trust-center/
Like Amazon Builders' Library but for security.
#security
🔥5👍3
AWS Notes
Лидер в области безопасности Wiz отклонил предложение продаться Google и идёт на IPO. https://www.theverge.com/2024/7/23/24204198/google-wiz-acquisition-called-off-23-billion-cloud-cybersecurity Очень хорошо, таким гигантам для столь чувствительной ниши…
Google + Wiz
Что не было куплено год назад за 23 миллиарда $, теперь куплено за 32.
https://cloud.google.com/blog/products/identity-security/google-announces-agreement-acquire-wiz
Что ж. Се ля курити.
#security
Что не было куплено год назад за 23 миллиарда $, теперь куплено за 32.
https://cloud.google.com/blog/products/identity-security/google-announces-agreement-acquire-wiz
Что ж. Се ля курити.
#security
Google Cloud Blog
Google announces agreement to acquire Wiz | Google Cloud Blog
Google announces agreement to acquire Wiz. Learn how this acquisition will provide a unified security platform and protect against new threats.
🤩4👌2
IngressNightmare — сразу несколько уязвимостей NGINX Controller for Kubernetes доступом к секретам всего и везде без авторизации:
https://www.wiz.io/blog/ingress-nginx-kubernetes-vulnerabilities
◽️ Кто пострадал — обладатели NGINX Controller версий до 1.12.1/1.11.5. Для устранения нужно срочно обновиться на последнюю версию.
◽️ Кто не пострадал — пользователи EKS:
EKS does not provide or install the ingress-nginx controller and is not affected by these issues.
Официальный отчёт о уязвимости Kubernetes:
https://kubernetes.io/blog/2025/03/24/ingress-nginx-cve-2025-1974/
#Kubernetes #security
https://www.wiz.io/blog/ingress-nginx-kubernetes-vulnerabilities
◽️ Кто пострадал — обладатели NGINX Controller версий до 1.12.1/1.11.5. Для устранения нужно срочно обновиться на последнюю версию.
◽️ Кто не пострадал — пользователи EKS:
EKS does not provide or install the ingress-nginx controller and is not affected by these issues.
Официальный отчёт о уязвимости Kubernetes:
https://kubernetes.io/blog/2025/03/24/ingress-nginx-cve-2025-1974/
#Kubernetes #security
wiz.io
CVE-2025-1974: The IngressNightmare in Kubernetes | Wiz Blog
Wiz Research uncovered RCE vulnerabilities (CVE-2025-1097, 1098, 24514, 1974) in Ingress NGINX for Kubernetes allowing cluster-wide secret access.
😁5👍2