Bisschop Fox vrijgelaten CloudFox, een opdrachtregelbeveiligingstool waarmee penetratietesters en beveiligingsprofessionals potentiële aanvalspaden binnen hun cloudinfrastructuren kunnen vinden.
De belangrijkste inspiratiebron voor CloudFox was het creëren van zoiets als PowerView voor cloudinfrastructuur, Bishop Fox-consultants Seth Art en Carlos Vendramini schreef in een blogpost waarin de tool werd aangekondigd. PowerView, een PowerShell-tool die wordt gebruikt om netwerksituationeel bewustzijn te verkrijgen in Active Directory-omgevingen, biedt penetratietesters de mogelijkheid om de machine en het Windows-domein te inventariseren.
Art en Vendramini beschreven bijvoorbeeld hoe CloudFox kan worden gebruikt om verschillende taken te automatiseren die penetratietesters uitvoeren als onderdeel van een opdracht, zoals het zoeken naar inloggegevens die zijn gekoppeld aan Amazon Relational Database Service (RDS), en het opsporen van de specifieke database-instantie die aan die inloggegevens is gekoppeld. en het identificeren van de gebruikers die toegang hebben tot deze inloggegevens. In dat scenario merkten Art en Vendramini op dat CloudFox kan worden gebruikt om te begrijpen wie – of het nu specifieke gebruikers of gebruikersgroepen zijn – mogelijk misbruik zou kunnen maken van die verkeerde configuratie (in dit geval de blootgestelde RDS-inloggegevens) en een aanval zou kunnen uitvoeren (zoals het stelen van gegevens van de databank).
De tool ondersteunt momenteel alleen Amazon Web Services, maar ondersteuning voor Azure, Google Cloud Platform en Kubernetes staat op de routekaart, aldus het bedrijf.
Bisschop Fox creëerde een aangepast beleid te gebruiken met het Security Auditor-beleid in Amazon Web Services dat CloudFox alle benodigde machtigingen verleent. Alle CloudFox-opdrachten zijn alleen-lezen, wat betekent dat het uitvoeren ervan niets verandert in de cloudomgeving.
“Je kunt er zeker van zijn dat er niets zal worden gemaakt, verwijderd of bijgewerkt”, schreven Art en Vendramini.
- Inventaris: zoek uit welke regio's in het doelaccount worden gebruikt en geef de ruwe omvang van het account weer door het aantal bronnen in elke service te tellen.
- Eindpunten: inventariseert service-eindpunten voor meerdere services tegelijkertijd. De uitvoer kan worden ingevoerd in andere tools, zoals Aquatone, gowitness, gobuster en ffuf.
- Instanties: genereert een lijst met alle openbare en privé-IP-adressen die zijn gekoppeld aan de Amazon Elastic Compute Cloud (EC2)-instanties met namen en instantieprofielen. Uitvoer kan worden gebruikt als invoer voor nmap.
- Toegangssleutels: Retourneert een lijst met actieve toegangssleutels voor alle gebruikers. Deze lijst zou handig zijn voor het vergelijken van een sleutel om erachter te komen tot welk account de sleutel behoort.
- Buckets: identificeert de buckets in het account. Er zijn andere opdrachten die kunnen worden gebruikt om de buckets verder te inspecteren.
- Geheimen: bevat geheimen van AWS Secrets Manager en AWS Systems Manager (SSM). Deze lijst kan ook worden gebruikt om naar geheimen te verwijzen om erachter te komen wie er toegang toe heeft.
“Het vinden van aanvalspaden in complexe cloudomgevingen kan moeilijk en tijdrovend zijn”, schreven Art en Vendramini, waarbij ze opmerkten dat de meeste tools om cloudomgevingen te analyseren zich richten op de naleving van de beveiligingsbasislijn. “Ons voornaamste publiek bestaat uit penetratietesters, maar we denken dat CloudFox nuttig zal zijn voor alle beoefenaars van cloudbeveiliging.”
