Uskup Fox dibebaskan CloudFox, alat keamanan baris perintah yang membantu penguji penetrasi dan praktisi keamanan menemukan jalur serangan potensial dalam infrastruktur cloud mereka.
Inspirasi utama CloudFox adalah menciptakan sesuatu seperti PowerView untuk infrastruktur cloud, konsultan Bishop Fox Seth Art dan Carlos Vendramini tulis dalam postingan blog yang mengumumkan alat tersebut. PowerView, alat PowerShell yang digunakan untuk mendapatkan kesadaran situasional jaringan di lingkungan Direktori Aktif, memberikan penguji penetrasi kemampuan untuk menghitung mesin dan Domain Windows.
Misalnya, Art dan Vendramini menjelaskan bagaimana CloudFox dapat digunakan untuk mengotomatiskan berbagai tugas yang dilakukan penguji penetrasi sebagai bagian dari keterlibatan, seperti mencari kredensial yang terkait dengan Amazon Relational Database Service (RDS), melacak instans database spesifik yang terkait dengan kredensial tersebut. , dan mengidentifikasi pengguna yang memiliki akses ke kredensial tersebut. Dalam skenario tersebut, Art dan Vendramini mencatat bahwa CloudFox dapat digunakan untuk memahami siapa โ apakah pengguna tertentu atau kelompok pengguna โ yang berpotensi mengeksploitasi kesalahan konfigurasi tersebut (dalam hal ini, kredensial RDS yang terekspos) dan melakukan serangan (seperti mencuri data dari data).
Alat tersebut saat ini hanya mendukung Amazon Web Services, tetapi dukungan untuk Azure, Google Cloud Platform, dan Kubernetes sedang dalam rencana, kata perusahaan itu.
Uskup Fox menciptakan a kebijakan kustom untuk digunakan dengan kebijakan Auditor Keamanan di Amazon Web Services yang memberikan CloudFox semua izin yang diperlukan. Semua perintah CloudFox bersifat read-only, artinya menjalankannya tidak akan mengubah apa pun di lingkungan cloud.
โYou can rest assured that nothing will be created, deleted, or updated,โ Art and Vendramini wrote.
- Inventaris: Cari tahu wilayah mana yang digunakan dalam akun target dan berikan perkiraan ukuran akun dengan menghitung jumlah sumber daya di setiap layanan.
- Titik Akhir: Menghitung titik akhir layanan untuk beberapa layanan secara bersamaan. Output dapat dimasukkan ke alat lain, seperti Aquatone, gowitness, gobuster, dan ffuf.
- Instans: Menghasilkan daftar semua alamat IP publik dan privat yang terkait dengan instans Amazon Elastic Compute Cloud (EC2) beserta nama dan profil instans. Output dapat digunakan sebagai input untuk nmap.
- Kunci akses: Mengembalikan daftar kunci akses aktif untuk semua pengguna. Daftar ini akan berguna untuk melakukan referensi silang suatu kunci guna mengetahui akun dalam cakupan mana yang memiliki kunci tersebut.
- Bucket: Mengidentifikasi bucket di akun. Ada perintah lain yang dapat digunakan untuk memeriksa bucket lebih lanjut.
- Rahasia: Mencantumkan rahasia dari AWS Secrets Manager dan AWS Systems Manager (SSM). Daftar ini juga dapat digunakan untuk melakukan referensi silang rahasia guna mengetahui siapa yang memiliki akses ke rahasia tersebut.
โFinding attack paths in complex cloud environments can be difficult and time consuming,โ Art and Vendramini wrote, noting that most tools to analyze cloud environments focus on security baseline compliance. โOur primary audience is penetration testers, but we think CloudFox will be useful for all cloud security practitioners.โ
