AWS - Malicious VPC Mirror

Controlla https://rhinosecuritylabs.com/aws/abusing-vpc-traffic-mirroring-in-aws per ulteriori dettagli sull'attacco!

L'ispezione passiva della rete in un ambiente cloud è stata una sfida, richiedendo importanti modifiche di configurazione per monitorare il traffico di rete. Tuttavia, una nuova funzionalità chiamata “VPC Traffic Mirroring” è stata introdotta da AWS per semplificare questo processo. Con VPC Traffic Mirroring, il traffico di rete all'interno delle VPC può essere duplicato senza installare alcun software sulle istanze stesse. Questo traffico duplicato può essere inviato a un sistema di rilevamento delle intrusioni di rete (IDS) per analisi.

Per affrontare la necessità di distribuzione automatizzata dell'infrastruttura necessaria per il mirroring e l'exfiltrazione del traffico VPC, abbiamo sviluppato uno script di proof-of-concept chiamato “malmirror”. Questo script può essere utilizzato con credenziali AWS compromesse per impostare il mirroring per tutte le istanze EC2 supportate in una VPC target. È importante notare che il VPC Traffic Mirroring è supportato solo dalle istanze EC2 alimentate dal sistema AWS Nitro, e il target del mirror VPC deve trovarsi all'interno della stessa VPC degli host mirrorati.

L'impatto del mirroring del traffico VPC malevolo può essere significativo, poiché consente agli attaccanti di accedere a informazioni sensibili trasmesse all'interno delle VPC. La probabilità di tale mirroring malevolo è alta, considerando la presenza di traffico in chiaro che scorre attraverso le VPC. Molte aziende utilizzano protocolli in chiaro all'interno delle loro reti interne per ragioni di prestazioni, assumendo che gli attacchi tradizionali man-in-the-middle non siano possibili.

Per ulteriori informazioni e accesso allo script malmirror, può essere trovato nel nostro repository GitHub. Lo script automatizza e semplifica il processo, rendendolo veloce, semplice e ripetibile per scopi di ricerca offensiva.