Biskop Fox løslatt CloudFox, et kommandolinjesikkerhetsverktøy som hjelper penetrasjonstestere og sikkerhetsutøvere med å finne potensielle angrepsveier i skyinfrastrukturen deres.
Hovedinspirasjonen for CloudFox var å lage noe som PowerView for skyinfrastruktur, Bishop Fox-konsulentene Seth Art og Carlos Vendramini skrev i et blogginnlegg som kunngjorde verktøyet. PowerView, et PowerShell-verktøy som brukes til å få nettverkssituasjonsbevissthet i Active Directory-miljøer, gir penetrasjonstestere muligheten til å telle opp maskinen og Windows-domenet.
For eksempel beskrev Art og Vendramini hvordan CloudFox kan brukes til å automatisere ulike oppgaver penetrasjonstestere utfører som en del av et engasjement, for eksempel å lete etter legitimasjon knyttet til Amazon Relational Database Service (RDS), spore opp den spesifikke databaseforekomsten knyttet til disse legitimasjonene , og identifisere brukerne som har tilgang til denne legitimasjonen. I det scenariet bemerket Art og Vendramini at CloudFox kan brukes til å forstå hvem – enten det er spesifikke brukere eller brukergrupper – som potensielt kan utnytte den feilkonfigurasjonen (i dette tilfellet den eksponerte RDS-legitimasjonen) og utføre et angrep (som å stjele data fra databasen).
Verktøyet støtter foreløpig bare Amazon Web Services, men støtte for Azure, Google Cloud Platform og Kubernetes er på veikartet, sa selskapet.
Bishop Fox opprettet en egendefinerte retningslinjer å bruke med sikkerhetsrevisorpolicyen i Amazon Web Services som gir CloudFox alle nødvendige tillatelser. Alle CloudFox-kommandoer er skrivebeskyttet, noe som betyr at utførelse av dem ikke vil endre noe i skymiljøet.
"Du kan være trygg på at ingenting vil bli opprettet, slettet eller oppdatert," skrev Art og Vendramini.
- Beholdning: Finn ut hvilke regioner som brukes i målkontoen og oppgi den grove størrelsen på kontoen ved å telle antall ressurser i hver tjeneste.
- Endepunkter: Oppregner tjenesteendepunkter for flere tjenester samtidig. Utdata kan mates inn i andre verktøy, for eksempel Aquatone, gowitness, gobuster og ffuf.
- Forekomster: Genererer en liste over alle offentlige og private IP-adresser knyttet til Amazon Elastic Compute Cloud (EC2)-forekomster med navn og forekomstprofiler. Utdata kan brukes som input for nmap.
- Tilgangsnøkler: Returnerer en liste over aktive tilgangsnøkler for alle brukere. Denne listen vil være nyttig for å krysshenvise en nøkkel for å finne ut hvilken konto i omfang nøkkelen tilhører.
- Bøtter: Identifiserer bøttene i kontoen. Det er andre kommandoer som kan brukes til å inspisere bøttene videre.
- Secrets: Viser hemmeligheter fra AWS Secrets Manager og AWS Systems Manager (SSM). Denne listen kan også brukes til å kryssreferanser hemmeligheter for å finne ut hvem som har tilgang til dem.
"Å finne angrepsveier i komplekse skymiljøer kan være vanskelig og tidkrevende," skrev Art og Vendramini, og la merke til at de fleste verktøyene for å analysere skymiljøer fokuserer på overholdelse av sikkerhetsgrunnlag. "Vår primære målgruppe er penetrasjonstestere, men vi tror CloudFox vil være nyttig for alle skysikkerhetsutøvere."
