Bishop Fox lance l'outil d'énumération cloud CloudFox

L'évêque Fox libéré NuageFox, un outil de sécurité en ligne de commande qui aide les testeurs d'intrusion et les professionnels de la sécurité à trouver des chemins d'attaque potentiels au sein de leurs infrastructures cloud.

La principale inspiration de CloudFox était de créer quelque chose comme PowerView pour l'infrastructure cloud, les consultants de Bishop Fox Seth Art et Carlos Vendramini a écrit dans un article de blog annonçant l'outil. PowerView, un outil PowerShell utilisé pour acquérir une connaissance de la situation du réseau dans les environnements Active Directory, offre aux testeurs d'intrusion la possibilité d'énumérer la machine et le domaine Windows.

Par exemple, Art et Vendramini ont décrit comment CloudFox pourrait être utilisé pour automatiser diverses tâches effectuées par les testeurs d'intrusion dans le cadre d'un engagement, comme la recherche d'informations d'identification associées à Amazon Relational Database Service (RDS), la recherche de l'instance de base de données spécifique associée à ces informations d'identification. , et en identifiant les utilisateurs qui ont accès à ces informations d'identification. Dans ce scénario, Art et Vendramini ont noté que CloudFox peut être utilisé pour comprendre qui – qu'il s'agisse d'utilisateurs spécifiques ou de groupes d'utilisateurs – pourrait potentiellement exploiter cette mauvaise configuration (dans ce cas, les informations d'identification RDS exposées) et mener une attaque (telle que le vol de données depuis un ordinateur). la base de données).

L'outil ne prend actuellement en charge qu'Amazon Web Services, mais la prise en charge d'Azure, de Google Cloud Platform et de Kubernetes est sur la feuille de route, a indiqué la société.

L'évêque Fox a créé un politique personnalisée à utiliser avec la stratégie Security Auditor dans Amazon Web Services qui accorde à CloudFox toutes les autorisations nécessaires. Toutes les commandes CloudFox sont en lecture seule, ce qui signifie que leur exécution ne changera rien dans l'environnement cloud.

"Vous pouvez être assuré que rien ne sera créé, supprimé ou mis à jour", ont écrit Art et Vendramini.

Certaines commandes incluent:

• Inventaire : déterminez quelles régions sont utilisées dans le compte cible et fournissez la taille approximative du compte en comptant le nombre de ressources dans chaque service.
• Points de terminaison : énumère les points de terminaison de service pour plusieurs services en même temps. La sortie peut être introduite dans d'autres outils, tels que Aquatone, gowitness, gobuster et ffuf.
• Instances : génère une liste de toutes les adresses IP publiques et privées associées aux instances Amazon Elastic Compute Cloud (EC2) avec des noms et des profils d'instance. La sortie peut être utilisée comme entrée pour nmap.
• Clés d'accès : renvoie une liste des clés d'accès actives pour tous les utilisateurs. Cette liste serait utile pour faire des références croisées à une clé afin de déterminer à quel compte concerné appartient la clé.
• Buckets : identifie les buckets du compte. Il existe d'autres commandes qui peuvent être utilisées pour inspecter davantage les compartiments.
• Secrets : répertorie les secrets d'AWS Secrets Manager et d'AWS Systems Manager (SSM). Cette liste peut également servir à croiser les secrets pour savoir qui y a accès.

"Trouver des chemins d'attaque dans des environnements cloud complexes peut être difficile et prendre du temps", ont écrit Art et Vendramini, notant que la plupart des outils d'analyse des environnements cloud se concentrent sur la conformité de base en matière de sécurité. « Notre public principal est constitué de testeurs d'intrusion, mais nous pensons que CloudFox sera utile à tous les praticiens de la sécurité du cloud. »