Bishop Fox julkaisee CloudFoxin Cloud Enumeration Toolin

Bishop Fox vapautettiin CloudFox, komentorivin suojaustyökalu, joka auttaa leviämisen testaajia ja tietoturvan harjoittajia löytämään mahdollisia hyökkäyspolkuja pilviinfrastruktuureistaan.

CloudFoxin pääinspiraationa oli luoda PowerView pilviinfrastruktuurille, Bishop Foxin konsultit Seth Art ja Carlos Vendramini kirjoitti blogikirjoituksessaan, jossa kerrottiin työkalusta. PowerView, PowerShell-työkalu, jota käytetään verkon tilannetietoisuuden lisäämiseen Active Directory -ympäristöissä, tarjoaa levinneisyystestajille mahdollisuuden luetella koneen ja Windows-toimialueen.

Esimerkiksi Art ja Vendramini kuvasivat, kuinka CloudFoxia voitaisiin käyttää automatisoimaan erilaisia ​​tehtäviä, joita läpäisytestaajat suorittavat osana sitoutumista, kuten Amazon Relational Database Service (RDS) -palveluun liittyvien valtuustietojen etsiminen, näihin valtuustietoihin liittyvän tietyn tietokanta-esiintymän jäljittäminen. ja tunnistaa käyttäjät, joilla on pääsy näihin valtuustietoihin. Tässä skenaariossa Art ja Vendramini huomauttivat, että CloudFoxia voidaan käyttää ymmärtämään, kuka – joko tietyt käyttäjät tai käyttäjäryhmät – voisi mahdollisesti hyödyntää tätä virheellistä kokoonpanoa (tässä tapauksessa paljastuneita RDS-tunnistetietoja) ja suorittaa hyökkäyksen (kuten varastaa tietoja tietokanta).

Työkalu tukee tällä hetkellä vain Amazon Web Services -palveluita, mutta tuki Azurelle, Google Cloud Platformille ja Kubernetesille on tiekartalla, yritys sanoi.

Piispa Fox loi a mukautettu politiikka käytettäväksi Amazon Web Services Security Auditor -käytännön kanssa, joka myöntää CloudFoxille kaikki tarvittavat käyttöoikeudet. Kaikki CloudFox-komennot ovat vain luku -tilassa, mikä tarkoittaa, että niiden suorittaminen ei muuta mitään pilviympäristössä.

"Voit olla varma, että mitään ei luoda, poisteta tai päivitetä", Art and Vendramini kirjoittivat.

Jotkut komennot sisältävät:

• Varasto: Selvitä, mitä alueita kohdetilillä käytetään, ja anna tilin karkea koko laskemalla kunkin palvelun resurssien määrä.
• Päätepisteet: Luetteloi palvelun päätepisteet useille palveluille samanaikaisesti. Tuotos voidaan syöttää muihin työkaluihin, kuten Aquatone, gowitness, gobuster ja ffuf.
• Ilmentymät: Luo luettelon kaikista julkisista ja yksityisistä IP-osoitteista, jotka liittyvät Amazon Elastic Compute Cloud (EC2) -esiintymiin, nimien ja ilmentymien profiileineen. Lähtöä voidaan käyttää nmapin tulona.
• Pääsyavaimet: Palauttaa kaikkien käyttäjien aktiivisten käyttöavaimien luettelon. Tämä luettelo olisi hyödyllinen avaimen ristiinviittauksen yhteydessä, jotta voidaan selvittää, mihin soveltamisalaan kuuluvaan tiliin avain kuuluu.
• Ryhmät: Tunnistaa tilin segmentit. On olemassa muita komentoja, joilla voidaan tarkastaa kauhoja tarkemmin.
• Secrets: Luetteloi AWS Secrets Managerin ja AWS Systems Managerin (SSM) salaisuudet. Tätä luetteloa voidaan käyttää myös salaisuuksien ristiinviittaukseen saadakseen selville, kenellä on pääsy niihin.

"Hyökkäyspolkujen löytäminen monimutkaisissa pilviympäristöissä voi olla vaikeaa ja aikaa vievää", Art ja Vendramini kirjoittivat ja huomauttivat, että useimmat pilviympäristöjen analysointityökalut keskittyvät turvallisuuden perusvaatimustenmukaisuuteen. "Ensisijainen yleisömme ovat levinneisyystestaajat, mutta uskomme, että CloudFox on hyödyllinen kaikille pilviturvallisuuden ammattilaisille."