Bishop Fox udostępnia narzędzie do wyliczania w chmurze CloudFox

Biskup Fox zwolniony CloudFox, narzędzie zabezpieczające działające z wiersza poleceń, które pomaga testerom penetracyjnym i specjalistom ds. bezpieczeństwa znajdować potencjalne ścieżki ataku w ich infrastrukturze chmurowej.

Główną inspiracją dla CloudFox było stworzenie czegoś w rodzaju PowerView dla infrastruktury chmurowej, konsultanci Bishop Fox, Seth Art i Carlos Vendramini – napisano w poście na blogu ogłaszającym narzędzie. PowerView, narzędzie PowerShell służące do uzyskiwania świadomości sytuacyjnej sieci w środowiskach Active Directory, zapewnia testerom penetracyjnym możliwość wyliczenia komputera i domeny Windows.

Na przykład Art i Vendramini opisali, w jaki sposób CloudFox można wykorzystać do automatyzacji różnych zadań wykonywanych przez testerów penetracyjnych w ramach zaangażowania, takich jak wyszukiwanie danych uwierzytelniających powiązanych z usługą Amazon Relational Database Service (RDS), śledzenie konkretnej instancji bazy danych powiązanej z tymi danymi uwierzytelniającymi oraz identyfikowanie użytkowników, którzy mają dostęp do tych poświadczeń. W tym scenariuszu Art i Vendramini zauważyli, że CloudFox można wykorzystać do zrozumienia, kto – czy to konkretni użytkownicy, czy grupy użytkowników – może potencjalnie wykorzystać tę błędną konfigurację (w tym przypadku ujawnione dane uwierzytelniające RDS) i przeprowadzić atak (taki jak kradzież danych z baza danych).

Narzędzie obsługuje obecnie tylko usługi Amazon Web Services, ale obsługa Azure, Google Cloud Platform i Kubernetes jest w planach – podała firma.

Biskup Fox stworzył polityka niestandardowa do użycia z polityką audytora bezpieczeństwa w Amazon Web Services, która przyznaje CloudFox wszystkie niezbędne uprawnienia. Wszystkie polecenia CloudFox są tylko do odczytu, co oznacza, że ​​ich wykonanie nie spowoduje żadnych zmian w środowisku chmury.

„Możecie być pewni, że nic nie zostanie utworzone, usunięte ani zaktualizowane” – napisali Art i Vendramini.

Niektóre polecenia obejmują:

• Zasoby: dowiedz się, które regiony są używane na koncie docelowym i podaj przybliżony rozmiar konta, licząc liczbę zasobów w każdej usłudze.
• Punkty końcowe: wylicza punkty końcowe usług dla wielu usług jednocześnie. Dane wyjściowe można przekazać do innych narzędzi, takich jak Aquatone, gowitness, gobuster i ffuf.
• Instancje: generuje listę wszystkich publicznych i prywatnych adresów IP powiązanych z instancjami Amazon Elastic Compute Cloud (EC2) wraz z nazwami i profilami instancji. Dane wyjściowe mogą być użyte jako dane wejściowe dla nmap.
• Klucze dostępu: Zwraca listę aktywnych kluczy dostępu dla wszystkich użytkowników. Ta lista byłaby przydatna do tworzenia odniesień do klucza w celu ustalenia, do którego konta objętego zakresem należy klucz.
• Zasobniki: identyfikuje zasobniki na koncie. Istnieją inne polecenia, których można użyć do dalszej kontroli zasobników.
• Sekrety: wyświetla listę sekretów z Menedżera sekretów AWS i Menedżera systemów AWS (SSM). Listy tej można także używać do tworzenia odniesień do sekretów i sprawdzania, kto ma do nich dostęp.

„Znajdowanie ścieżek ataku w złożonych środowiskach chmurowych może być trudne i czasochłonne” – napisali Art i Vendramini, zauważając, że większość narzędzi do analizy środowisk chmurowych koncentruje się na zgodności z podstawowymi założeniami bezpieczeństwa. „Naszą główną grupą odbiorców są testerzy penetracji, ale uważamy, że CloudFox będzie przydatny dla wszystkich specjalistów zajmujących się bezpieczeństwem w chmurze”.