Amazonil kulus üle kolme tunni, et taastada kontroll IP-aadresside üle, mida ta kasutab pilvepõhiste teenuste hostimiseks pärast seda, kui ta ootamatult kontrolli kaotas. Järeldused näitavad, et selle vea tõttu võivad häkkerid varastada ühe ohustatud kliendi klientidelt 235,000 XNUMX dollarit krüptovaluutasid.
Kuidas häkkerid seda tegid
Kasutades tehnikat nn BGP kaaperdamine, mis kasutab ära põhilise Interneti-protokolli tuntud vigu, võtsid ründajad kontrolli umbes 256 IP-aadressi üle. BGP, lühend sõnadest Border Gateway Protocol, on standardne spetsifikatsioon, mida autonoomsed süsteemivõrgud – liiklust suunavad organisatsioonid – kasutavad teiste ASN-idega suhtlemiseks.
Ettevõtetele, et nad saaksid jälgida, millised IP-aadressid millistele seaduslikult kleepuvad ASN-id, BGP loodab endiselt peamiselt suulise suhtluse Interneti-ekvivalendile, ehkki selle kriitilist rolli tohutute andmemahtude reaalajas suunamisel kogu maailmas.
Häkkerid muutusid kavalamaks
/24 IP-aadresside plokk, mis kuulub AS16509-le, mis on üks vähemalt kolmest ASN-ist, mida haldab Amazon, teatati ootamatult, et see on augustis juurdepääsetav autonoomse süsteemi 209243 kaudu, mis kuulub Ühendkuningriigi võrguoperaatorile Quickhost.
IP-aadressi host cbridge-prod2.celer.network, alamdomeen, mis vastutab Celer Bridge'i krüptovahetuse jaoks olulise nutika lepingu kasutajaliidese pakkumise eest, oli osa ohustatud plokist aadressil 44.235.216.69.
Kuna nad suutsid Läti sertifitseerimisasutusele GoGetSSL-ile näidata, et nad kontrollivad alamdomeeni, kasutasid häkkerid ülevõtmist, et saada 2. augustil cbridge-prod17.celer.network TLS-sertifikaat.
Kui neil oli sertifikaat, rakendasid kurjategijad oma nutika lepingu samas domeenis ja jälgisid külastajaid, kes üritavad külastada seaduslikku Celer Bridge'i lehte.
Coinbase'i ohuluuremeeskonna järgmise aruande põhjal sai petturlik leping 234,866.65 kontolt 32 XNUMX dollarit.
Tundub, et Amazoni on kaks korda hammustatud
BGP-rünnak Amazoni IP-aadressile on toonud kaasa olulisi bitcoinide kaotusi. Rahutavalt identne juhtum Amazoni Route 53 süsteemi kasutamisel domeeninimede teenuse jaoks toimus 2018. aastal. Umbes 150,000 XNUMX dollari väärtuses krüptovaluutat alates MyEtherWallet kliendikontod. Kui häkkerid oli kasutanud brauseri usaldusväärset TLS-sertifikaati iseallkirjastatud sertifikaadi asemel, mis sundis kasutajaid teatist läbi klõpsama, oleks varastatud summa tõenäoliselt suurem.
Pärast 2018. aasta rünnakut Amazon lisatud üle 5,000 IP-prefiksi Route Origin Authorizations (ROA) juurde, mis on avalikult kättesaadavad kirjed, mis täpsustavad, millistel ASN-idel on õigus IP-aadresse levitada.
Muudatus andis mõningase kindlustunde an RPKI (ressursside avaliku võtme infrastruktuur), mis kasutab elektroonilisi sertifikaate, et siduda ASN nende õigete IP-aadressidega.
See uuring näitab, et häkkerid tutvustasid eelmisel kuul AS16509 ja täpsemat /24 marsruuti AS-SET-i, mis on indekseeritud ALTDB-s, autonoomsete süsteemide tasuta registris, et avaldada oma BGP-marsruutimise põhimõtted, et kaitsest mööda hiilida.
Amazoni kaitseks pole see kaugeltki esimene pilveteenuse pakkuja, kes on BGP-rünnaku tõttu kaotanud kontrolli oma IP-numbrite üle. BGP on üle kahe aastakümne olnud vastuvõtlik hooletutele konfiguratsioonivigade ja räige pettuse suhtes. Lõppkokkuvõttes on turvaprobleem kogu sektorit hõlmav probleem, mida Amazon ainult lahendada ei saa.
Allikas: https://crypto.news/how-amazons-3-hours-of-inactivity-cost-crypto-investors-235000/