AWS - Malicious VPC Mirror

Reading time: 3 minutes

Check https://rhinosecuritylabs.com/aws/abusing-vpc-traffic-mirroring-in-aws for further details of the attack!

Ukaguzi wa mtandao wa passiv katika mazingira ya wingu umekuwa mgumu, ukihitaji mabadiliko makubwa ya usanidi ili kufuatilia trafiki ya mtandao. Hata hivyo, kipengele kipya kinachoitwa “VPC Traffic Mirroring” kimeanzishwa na AWS ili kurahisisha mchakato huu. Kwa VPC Traffic Mirroring, trafiki ya mtandao ndani ya VPCs inaweza kudhibitishwa bila kufunga programu yoyote kwenye mifano yenyewe. Trafiki hii iliyodhibitishwa inaweza kutumwa kwa mfumo wa kugundua uvamizi wa mtandao (IDS) kwa uchambuzi.

Ili kukabiliana na hitaji la kupelekwa kiotomatiki kwa miundombinu inayohitajika kwa ajili ya kudhibitisha na kuhamasisha trafiki ya VPC, tumetengeneza skripti ya uthibitisho wa dhana inayoitwa “malmirror”. Skripti hii inaweza kutumika na akidi za AWS zilizovunjwa kuweka kudhibitisha kwa mifano yote inayoungwa mkono ya EC2 katika VPC lengwa. Ni muhimu kutambua kwamba VPC Traffic Mirroring inasaidiwa tu na mifano ya EC2 inayotumiwa na mfumo wa AWS Nitro, na lengo la VPC mirror lazima liwe ndani ya VPC hiyo hiyo na wenyeji waliodhibitishwa.

Athari za kudhibitisha trafiki ya VPC kwa njia mbaya zinaweza kuwa kubwa, kwani inawawezesha washambuliaji kupata habari nyeti zinazotumwa ndani ya VPCs. Uwezekano wa kudhibitisha mbaya kama hii ni mkubwa, ukizingatia uwepo wa trafiki ya maandiko wazi inayopita kupitia VPCs. Makampuni mengi hutumia protokali za maandiko wazi ndani ya mitandao yao ya ndani kwa sababu za utendaji, wakidhani kwamba mashambulizi ya jadi ya mtu katikati hayawezekani.

Kwa maelezo zaidi na ufikiaji wa malmirror script, inaweza kupatikana kwenye GitHub repository yetu. Skripti hii inafanya mchakato kuwa wa kiotomatiki na rahisi, ikifanya iwe haraka, rahisi, na inayoweza kurudiwa kwa madhumuni ya utafiti wa mashambulizi.