Fox püspök elengedték CloudFox, egy parancssori biztonsági eszköz, amely segít a behatolást tesztelőknek és a biztonsági szakembereknek megtalálni a lehetséges támadási útvonalakat a felhőinfrastruktúrán belül.
A CloudFox fő inspirációja az volt, hogy valami olyasmit hozzon létre, mint a PowerView felhő infrastruktúrához, a Bishop Fox tanácsadói, Seth Art és Carlos Vendramini írta egy blogbejegyzésben, amelyben bejelenti az eszközt. A PowerView, egy PowerShell-eszköz, amelyet az Active Directory-környezetekben a hálózati helyzetek tudatosítására használnak, lehetővé teszi a behatolástesztelők számára a gép és a Windows-tartomány számbavételét.
Például Art és Vendramini leírta, hogy a CloudFox segítségével automatizálható a különböző feladatok, amelyeket a penetrációs tesztelők egy megbízás részeként hajtanak végre, mint például az Amazon Relational Database Service (RDS) szolgáltatáshoz kapcsolódó hitelesítő adatok keresése, az ezekhez a hitelesítő adatokhoz társított konkrét adatbázispéldányok felkutatása. , és azonosítja azokat a felhasználókat, akik hozzáférnek ezekhez a hitelesítő adatokhoz. Ebben a forgatókönyvben Art és Vendramini megjegyezte, hogy a CloudFox segítségével megérthető, hogy kik – akár bizonyos felhasználók, akár felhasználói csoportok – kihasználhatják a hibás konfigurációt (jelen esetben a nyilvánosságra hozott RDS-hitelesítési adatokat), és támadást hajthatnak végre (például adatok ellopását) az adatbázis).
Az eszköz jelenleg csak az Amazon Web Services szolgáltatást támogatja, de az Azure, a Google Cloud Platform és a Kubernetes támogatása az ütemtervben van – közölte a cég.
Fox püspök létrehozta a egyéni szabályzat használni az Amazon Web Services Security Auditor házirendjével, amely megadja a CloudFoxnak az összes szükséges engedélyt. Minden CloudFox parancs csak olvasható, ami azt jelenti, hogy végrehajtásuk semmit nem változtat a felhőkörnyezetben.
"Biztos lehetsz benne, hogy semmi sem fog létrehozni, törölni vagy frissíteni" - írta Art and Vendramini.
Egyes parancsok közé tartozik:
- Készlet: Állapítsa meg, mely régiókat használja a célfiók, és adja meg a fiók hozzávetőleges méretét az egyes szolgáltatásokban található erőforrások számának megszámlálásával.
- Végpontok: Felsorolja a szolgáltatás végpontjait több szolgáltatáshoz egyszerre. A kimenet más eszközökbe is betáplálható, mint például az Aquatone, a gowitness, a gobuster és a ffuf.
- Példányok: Létrehoz egy listát az Amazon Elastic Compute Cloud (EC2) példányaihoz társított összes nyilvános és privát IP-címről nevekkel és példányprofilokkal. A kimenet az nmap bemeneteként használható.
- Hozzáférési kulcsok: Az összes felhasználó aktív hozzáférési kulcsainak listáját adja vissza. Ez a lista hasznos lehet egy kulcsra való kereszthivatkozáshoz, hogy megtudja, melyik hatókörű fiókhoz tartozik a kulcs.
- Csoportok: Azonosítja a fiókban lévő csoportokat. Más parancsok is használhatók a vödrök további vizsgálatára.
- Titkok: Felsorolja az AWS Secrets Manager és az AWS Systems Manager (SSM) titkait. Ez a lista titkokra való kereszthivatkozásra is használható, hogy megtudja, ki férhet hozzá.
„A támadási útvonalak megtalálása összetett felhőkörnyezetekben nehéz és időigényes lehet” – írta Art és Vendramini, megjegyezve, hogy a felhőkörnyezetek elemzésére szolgáló legtöbb eszköz a biztonsági alapkövetelményekre összpontosít. „Elsődleges közönségünk a penetrációtesztelők, de úgy gondoljuk, hogy a CloudFox hasznos lesz minden felhőbiztonsági szakember számára.”
