Bishop Fox がクラウド列挙ツール CloudFox をリリース from darkreading.com

CloudFox は、侵入テスターやセキュリティ担当者がクラウド インフラストラクチャ内の潜在的な攻撃経路を見つけるのに役立つコマンドライン セキュリティ ツールです。
たとえば、Art と Vendramini は、CloudFox を使用して、Amazon Relational Database Service (RDS) に関連付けられた資格情報の検索、それらに関連付けられた特定のデータベース インスタンスの追跡など、侵入テスターがエンゲージメントの一環として実行するさまざまなタスクを自動化する方法について説明しました。
そのシナリオでは、Art と Vendramini は、CloudFox を使用して、特定のユーザーかユーザー グループかを問わず、誰がその構成ミス (この場合は公開された RDS 資格情報) を悪用し、攻撃 (サーバーからデータを盗むなど) を実行できるかを理解できると指摘しました。
Bishop Fox は、CloudFox に必要なすべてのアクセス許可を付与する Amazon Web Services の Security Auditor ポリシーで使用するカスタム ポリシーを作成しました。
バケットをさらに検査するために使用できる他のコマンドがあります。
このリストは、シークレットを相互参照して、誰がシークレットにアクセスできるかを調べるためにも使用できます。