Controlla https://rhinosecuritylabs.com/aws/abusing-vpc-traffic-mirroring-in-aws per ulteriori dettagli sull'attacco!

L'ispezione passiva della rete in un ambiente cloud è stata sfidante, richiedendo importanti modifiche di configurazione per monitorare il traffico di rete. Tuttavia, è stata introdotta una nuova funzionalità chiamata "Specchio del Traffico VPC" da AWS per semplificare questo processo. Con lo Specchio del Traffico VPC, il traffico di rete all'interno delle VPC può essere duplicato senza installare alcun software sulle istanze stesse. Questo traffico duplicato può essere inviato a un sistema di rilevamento delle intrusioni di rete (IDS) per analisi.

Per affrontare la necessità di implementazione automatizzata dell'infrastruttura necessaria per specchiare ed esfiltrare il traffico VPC, abbiamo sviluppato uno script di prova chiamato "malmirror". Questo script può essere utilizzato con credenziali AWS compromesse per configurare lo specchio per tutte le istanze EC2 supportate in una VPC di destinazione. È importante notare che lo Specchio del Traffico VPC è supportato solo dalle istanze EC2 alimentate dal sistema AWS Nitro, e il target dello specchio VPC deve trovarsi nella stessa VPC degli host specchiati.

L'impatto dello specchio malizioso del traffico VPC può essere significativo, poiché consente agli attaccanti di accedere a informazioni sensibili trasmesse all'interno delle VPC. La probabilità di tale specchio malizioso è alta, considerando la presenza di traffico in testo normale che scorre attraverso le VPC. Molte aziende utilizzano protocolli in testo normale all'interno delle loro reti interne per motivi di prestazioni, assumendo che gli attacchi tradizionali dell'uomo nel mezzo non siano possibili.

Per ulteriori informazioni e accesso allo script malmirror, può essere trovato nel nostro repository GitHub. Lo script automatizza e semplifica il processo, rendendolo rapido, semplice e ripetibile per scopi di ricerca offensiva.