Ελέγξτε https://rhinosecuritylabs.com/aws/abusing-vpc-traffic-mirroring-in-aws για περαιτέρω λεπτομέρειες της επίθεσης!

Η παθητική επιθετική επιθεώρηση δικτύου σε ένα περιβάλλον cloud ήταν προκλητική, απαιτώντας σημαντικές αλλαγές ρύθμισης για την παρακολούθηση της κίνησης του δικτύου. Ωστόσο, η AWS εισήγαγε μια νέα δυνατότητα με την ονομασία "VPC Traffic Mirroring" για να απλοποιήσει αυτήν τη διαδικασία. Με το VPC Traffic Mirroring, η κίνηση του δικτύου εντός των VPCs μπορεί να διπλασιαστεί χωρίς την εγκατάσταση οποιουδήποτε λογισμικού στις ίδιες τις περιπτώσεις. Αυτή η διπλασιασμένη κίνηση μπορεί να αποσταλεί σε ένα σύστημα ανίχνευσης εισβολής του δικτύου (IDS) για ανάλυση.

Για να αντιμετωπιστεί η ανάγκη για αυτόματη αναπτυξη της απαραίτητης υποδομής για τον καθρέπτη και την εξαγωγή της κίνησης του VPC, αναπτύξαμε ένα σενάριο απόδειξης με την ονομασία "malmirror". Αυτό το σενάριο μπορεί να χρησιμοποιηθεί με υποκλεμμένα διαπιστευτήρια AWS για να δημιουργήσει έναν καθρέπτη για όλες τις υποστηριζόμενες EC2 περιπτώσεις σε έναν στόχο VPC. Σημειώνεται ότι ο καθρέπτης κίνησης VPC υποστηρίζεται μόνο από περιπτώσεις EC2 που τροφοδοτούνται από το σύστημα AWS Nitro, και ο στόχος καθρέπτη VPC πρέπει να βρίσκεται στον ίδιο VPC με τις καθρεφτιζόμενες περιπτώσεις.

Ο αντίκτυπος του κακόβουλου καθρέπτη κίνησης VPC μπορεί να είναι σημαντικός, καθώς επιτρέπει στους επιτιθέμενους να έχουν πρόσβαση σε ευαίσθητες πληροφορίες που μεταδίδονται εντός των VPCs. Η πιθανότητα μιας τέτοιας κακόβουλης καθρέπτησης είναι υψηλή, λαμβάνοντας υπόψη την παρουσία κειμενικής κίνησης που ρέει μέσω των VPCs. Πολλές εταιρείες χρησιμοποιούν πρωτόκολλα κειμένου στα εσωτερικά δίκτυά τους για λόγους απόδοσης, υποθέτοντας ότι οι παραδοσιακές επιθέσεις man-in-the-middle δεν είναι δυνατές.

Για περισσότερες πληροφορίες και πρόσβαση στο σενάριο malmirror, μπορείτε να το βρείτε στο αποθετήριο GitHub μας. Το σενάριο αυτοματοποιεί και απλοποιεί τη διαδικασία, καθιστώντας την γρήγορη, απλή και επαναληπτική για επιθετικούς σκοπούς έρευνας.