Ο Bishop Fox κυκλοφορεί το Cloud Enumeration Tool CloudFox

Ο Επίσκοπος Φοξ αφέθηκε ελεύθερος CloudFox, ένα εργαλείο ασφαλείας γραμμής εντολών που βοηθά τους δοκιμαστές διείσδυσης και τους επαγγελματίες ασφαλείας να βρουν πιθανές διαδρομές επίθεσης στις υποδομές cloud τους.

Η κύρια έμπνευση για το CloudFox ήταν να δημιουργήσει κάτι σαν το PowerView για υποδομές cloud, τους συμβούλους Bishop Fox Seth Art και Carlos Vendramini έγραψε σε μια ανάρτηση ιστολογίου ανακοινώνοντας το εργαλείο. Το PowerView, ένα εργαλείο PowerShell που χρησιμοποιείται για την απόκτηση επίγνωσης της κατάστασης δικτύου σε περιβάλλοντα Active Directory, παρέχει στους ελεγκτές διείσδυσης τη δυνατότητα απαρίθμησης του μηχανήματος και του τομέα των Windows.

Για παράδειγμα, οι Art και Vendramini περιέγραψαν πώς το CloudFox θα μπορούσε να χρησιμοποιηθεί για την αυτοματοποίηση διαφόρων εργασιών που εκτελούν οι ελεγκτές διείσδυσης ως μέρος μιας δέσμευσης, όπως η αναζήτηση διαπιστευτηρίων που σχετίζονται με την υπηρεσία σχεσιακής βάσης δεδομένων της Amazon (RDS), η παρακολούθηση της συγκεκριμένης παρουσίας βάσης δεδομένων που σχετίζεται με αυτά τα διαπιστευτήρια και τον προσδιορισμό των χρηστών που έχουν πρόσβαση σε αυτά τα διαπιστευτήρια. Σε αυτό το σενάριο, οι Art και Vendramini σημείωσαν ότι το CloudFox μπορεί να χρησιμοποιηθεί για να κατανοήσει ποιος —είτε συγκεκριμένοι χρήστες είτε ομάδες χρηστών— θα μπορούσε ενδεχομένως να εκμεταλλευτεί αυτή την εσφαλμένη διαμόρφωση (σε αυτήν την περίπτωση, τα εκτεθειμένα διαπιστευτήρια RDS) και να πραγματοποιήσει μια επίθεση (όπως η κλοπή δεδομένων από τη βάση δεδομένων).

Το εργαλείο υποστηρίζει προς το παρόν μόνο τις υπηρεσίες Ιστού της Amazon, αλλά η υποστήριξη για το Azure, το Google Cloud Platform και το Kubernetes βρίσκεται στον οδικό χάρτη, είπε η εταιρεία.

Ο Επίσκοπος Φοξ δημιούργησε ένα προσαρμοσμένη πολιτική για χρήση με την πολιτική του Ελεγκτή Ασφαλείας στις Υπηρεσίες Ιστού της Amazon που εκχωρεί στο CloudFox όλα τα απαραίτητα δικαιώματα. Όλες οι εντολές του CloudFox είναι μόνο για ανάγνωση, πράγμα που σημαίνει ότι η εκτέλεσή τους δεν θα αλλάξει τίποτα στο περιβάλλον του cloud.

«Μπορείτε να είστε σίγουροι ότι τίποτα δεν θα δημιουργηθεί, δεν θα διαγραφεί ή θα ενημερωθεί», έγραψαν οι Art and Vendramini.

Μερικές εντολές περιλαμβάνουν:

• Απόθεμα: Υπολογίστε ποιες περιοχές χρησιμοποιούνται στον λογαριασμό-στόχο και δώστε το κατά προσέγγιση μέγεθος του λογαριασμού μετρώντας τον αριθμό των πόρων σε κάθε υπηρεσία.
• Endpoints: Αριθμεί τελικά σημεία υπηρεσίας για πολλές υπηρεσίες ταυτόχρονα. Η έξοδος μπορεί να τροφοδοτηθεί σε άλλα εργαλεία, όπως το Aquatone, το gowitness, το gobuster και το ffuf.
• Στιγμιότυπα: Δημιουργεί μια λίστα με όλες τις δημόσιες και ιδιωτικές διευθύνσεις IP που σχετίζονται με τις παρουσίες Amazon Elastic Compute Cloud (EC2) με ονόματα και προφίλ παρουσιών. Η έξοδος μπορεί να χρησιμοποιηθεί ως είσοδος για nmap.
• Κλειδιά πρόσβασης: Επιστρέφει μια λίστα ενεργών κλειδιών πρόσβασης για όλους τους χρήστες. Αυτή η λίστα θα ήταν χρήσιμη για τη διασταύρωση ενός κλειδιού για να καταλάβετε σε ποιον λογαριασμό εντός πεδίου ανήκει το κλειδί.
• Κάδοι: Προσδιορίζει τους κάδους στο λογαριασμό. Υπάρχουν άλλες εντολές που μπορούν να χρησιμοποιηθούν για την περαιτέρω επιθεώρηση των κουβάδων.
• Secrets: Παραθέτει μυστικά από το AWS Secrets Manager και το AWS Systems Manager (SSM). Αυτή η λίστα μπορεί επίσης να χρησιμοποιηθεί για τη διασταύρωση μυστικών για να μάθετε ποιος έχει πρόσβαση σε αυτά.

«Η εύρεση μονοπατιών επίθεσης σε πολύπλοκα περιβάλλοντα cloud μπορεί να είναι δύσκολη και χρονοβόρα», έγραψαν οι Art και Vendramini, σημειώνοντας ότι τα περισσότερα εργαλεία για την ανάλυση περιβαλλόντων cloud εστιάζουν στη συμμόρφωση με τη γραμμή βάσης ασφαλείας. "Το κύριο κοινό μας είναι οι ελεγκτές διείσδυσης, αλλά πιστεύουμε ότι το CloudFox θα είναι χρήσιμο για όλους τους επαγγελματίες ασφάλειας του cloud."