AWS - Malicious VPC Mirror

Angalia https://rhinosecuritylabs.com/aws/abusing-vpc-traffic-mirroring-in-aws kwa maelezo zaidi ya shambulio!

Uchunguzi wa mtandao wa kipokezi katika mazingira ya wingu umekuwa changamoto, ukihitaji mabadiliko makubwa ya usanidi kufuatilia trafiki ya mtandao. Hata hivyo, kipengele kipya kinachoitwa “Kioo cha Trafiki ya VPC” kimeanzishwa na AWS ili kusahilisha mchakato huu. Kwa Kioo cha Trafiki ya VPC, trafiki ya mtandao ndani ya VPCs inaweza kudurufishwa bila kusakinisha programu yoyote kwenye mifano yenyewe. Trafiki hii iliyodurufishwa inaweza kutumwa kwa mfumo wa kugundua udukuzi wa mtandao (IDS) kwa uchambuzi.

Ili kukabiliana na hitaji la kupeleka kiotomatiki miundombinu inayohitajika kwa ajili ya kioo na kutoa nje trafiki ya VPC, tumebuni script ya uthibitisho wa dhana inayoitwa “malmirror”. Script hii inaweza kutumika na vitambulisho vya AWS vilivyodukuliwa kuweka kioo kwa mifano yote ya EC2 inayoungwa mkono katika VPC ya lengo. Ni muhimu kutambua kuwa Kioo cha Trafiki ya VPC kinatambuliwa tu na mifano ya EC2 inayotumia mfumo wa AWS Nitro, na lengo la kioo la VPC lazima liwe ndani ya VPC ile ile kama wenyeji wanaodurufishwa.

Athari ya kioo cha trafiki cha VPC cha nia ya kudhuru inaweza kuwa kubwa, kwani inaruhusu wadukuzi kupata taarifa nyeti zinazotumwa ndani ya VPCs. Uwezekano wa kioo cha kudhuru kama hicho ni mkubwa, ikizingatiwa uwepo wa trafiki ya maandishi wazi inayopita kupitia VPCs. Kampuni nyingi hutumia itifaki za maandishi wazi ndani ya mitandao yao ya ndani kwa sababu za utendaji, wakidhani kuwa mashambulizi ya kawaida ya mtu katikati hayawezekani.

Kwa maelezo zaidi na kupata ufikiaji wa script ya malmirror, inaweza kupatikana kwenye repo yetu ya GitHub. Script hiyo inaautomatisha na kufanya mchakato kuwa haraka, rahisi, na unaweza kurudiwa kwa madhumuni ya utafiti wa kushambulia.