Confira https://rhinosecuritylabs.com/aws/abusing-vpc-traffic-mirroring-in-aws para mais detalhes sobre o ataque!

A inspeção passiva de rede em um ambiente de nuvem tem sido desafiadora, exigindo grandes mudanças de configuração para monitorar o tráfego de rede. No entanto, um novo recurso chamado "VPC Traffic Mirroring" foi introduzido pela AWS para simplificar esse processo. Com o VPC Traffic Mirroring, o tráfego de rede dentro das VPCs pode ser duplicado sem a instalação de qualquer software nas instâncias em si. Esse tráfego duplicado pode ser enviado para um sistema de detecção de intrusões de rede (IDS) para análise.

Para atender à necessidade de implantação automatizada da infraestrutura necessária para espelhar e exfiltrar o tráfego da VPC, desenvolvemos um script de prova de conceito chamado "malmirror". Este script pode ser usado com credenciais da AWS comprometidas para configurar o espelhamento para todas as instâncias EC2 suportadas em uma VPC de destino. É importante observar que o VPC Traffic Mirroring é suportado apenas por instâncias EC2 alimentadas pelo sistema AWS Nitro, e o alvo do espelho da VPC deve estar dentro da mesma VPC que os hosts espelhados.

O impacto do espelhamento malicioso do tráfego da VPC pode ser significativo, pois permite que os atacantes acessem informações sensíveis transmitidas dentro das VPCs. A probabilidade de tal espelhamento malicioso é alta, considerando a presença de tráfego em texto simples fluindo através das VPCs. Muitas empresas usam protocolos em texto simples dentro de suas redes internas por motivos de desempenho, assumindo que ataques tradicionais do tipo homem-no-meio não são possíveis.

Para mais informações e acesso ao script malmirror, ele pode ser encontrado em nosso repositório GitHub. O script automatiza e simplifica o processo, tornando-o rápido, simples e repetível para fins de pesquisa ofensiva.