Consultez https://rhinosecuritylabs.com/aws/abusing-vpc-traffic-mirroring-in-aws pour plus de détails sur l'attaque !

L'inspection passive du réseau dans un environnement cloud a été difficile, nécessitant des changements de configuration majeurs pour surveiller le trafic réseau. Cependant, une nouvelle fonctionnalité appelée "Miroir de Trafic VPC" a été introduite par AWS pour simplifier ce processus. Avec le Miroir de Trafic VPC, le trafic réseau au sein des VPC peut être dupliqué sans installer de logiciel sur les instances elles-mêmes. Ce trafic dupliqué peut être envoyé à un système de détection d'intrusion réseau (IDS) pour analyse.

Pour répondre au besoin de déploiement automatisé de l'infrastructure nécessaire pour miroiter et exfiltrer le trafic VPC, nous avons développé un script de preuve de concept appelé "malmirror". Ce script peut être utilisé avec des informations d'identification AWS compromises pour configurer le miroir pour toutes les instances EC2 prises en charge dans un VPC cible. Il est important de noter que le Miroir de Trafic VPC est uniquement pris en charge par les instances EC2 alimentées par le système Nitro d'AWS, et la cible du miroir VPC doit être dans le même VPC que les hôtes miroités.

L'impact du miroir de trafic VPC malveillant peut être significatif, car il permet aux attaquants d'accéder à des informations sensibles transmises au sein des VPC. La probabilité d'un tel miroir malveillant est élevée, compte tenu de la présence de trafic en clair circulant à travers les VPC. De nombreuses entreprises utilisent des protocoles en clair au sein de leurs réseaux internes pour des raisons de performance, en supposant que les attaques traditionnelles de l'homme du milieu ne sont pas possibles.

Pour plus d'informations et d'accès au script malmirror, il peut être trouvé sur notre dépôt GitHub. Le script automatise et simplifie le processus, le rendant rapide, simple et reproductible à des fins de recherche offensive.