„Amazon“ užtruko daugiau nei tris valandas, kad atgautų IP adresų, kuriuos ji naudoja debesyje pagrįstoms paslaugoms priglobti, kontrolę po to, kai staiga prarado kontrolę. Išvados parodyta, kad dėl šio trūkumo įsilaužėliai galėjo pavogti 235,000 XNUMX USD kriptovaliutų iš vieno iš pažeistų klientų klientų.
Kaip įsilaužėliai tai padarė
Naudojant techniką, vadinamą BGP užgrobimas, kuris naudojasi gerai žinomais pagrindinio interneto protokolo trūkumais, užpuolikai perėmė maždaug 256 IP adresus. BGP, trumpinys „Border Gateway Protocol“, yra standartinė specifikacija, kurią autonominių sistemų tinklai – organizacijos, nukreipiančios srautą – naudoja bendrauti su kitais ASN.
Įmonėms, kurios galėtų sekti, prie kurių IP adresų teisėtai priklauso ASN, BGP vis dar daugiausia remiasi internetiniu „iš lūpų į lūpas“ atitikmeniu, nors ir labai svarbus vaidmuo nukreipiant didžiulius duomenų kiekius visame pasaulyje realiuoju laiku.
Piratai tapo gudresni
/24 IP adresų blokas, priklausantis AS16509, vienam iš mažiausiai 3 ASN, valdomų Amazonėrugpjūtį buvo netikėtai paskelbta, kad ji bus pasiekiama per autonominę sistemą 209243, kuri priklauso JK tinklo operatoriui „Quickhost“.
IP adreso priegloba cbridge-prod2.celer.network, subdomenas, atsakingas už itin svarbios išmaniosios sutarties vartotojo sąsajos teikimą Celer Bridge kriptovaliutų mainams, buvo pažeisto bloko 44.235.216.69 dalis.
Kadangi jie galėjo parodyti Latvijos sertifikatų institucijai GoGetSSL, kad valdo padomenį, įsilaužėliai pasinaudojo perėmimu, kad rugpjūčio 2 d. gautų TLS sertifikatą cbridge-prod17.celer.network.
Gavę sertifikatą, nusikaltėliai įdiegė savo išmaniąją sutartį tame pačiame domene ir stebėjo, ar lankytojai nebando apsilankyti teisėtame Celer Bridge puslapyje.
Remiantis šia „Coinbase“ grėsmių žvalgybos komandos ataskaita, iš 234,866.65 sąskaitų buvo išnešta 32 XNUMX USD.
Panašu, kad „Amazon“ įkando du kartus
BGP užpuolimas „Amazon“ IP adresu sukėlė didelių bitkoinų nuostolių. Nerimą keliantis identiškas incidentas naudojant „Amazon“ Route 53 sistemą domenų vardų tarnybai įvyko 2018 m. Maždaug 150,000 XNUMX USD vertės kriptovaliuta iš MyEtherWallet klientų sąskaitos. Jei Piratai naudojo naršyklės patikimą TLS sertifikatą, o ne savarankiškai pasirašytą sertifikatą, kuris privertė vartotojus spustelėti pranešimą, pavogta suma tikriausiai galėjo būti didesnė.
Po 2018 m. užpuolimo „Amazon“. pridėta daugiau nei 5,000 IP priešdėlių į maršruto kilmės autorizacijas (ROA), kurios yra atvirai prieinami įrašai, nurodantys, kurie ASN turi teisę transliuoti IP adresus.
Pakeitimas suteikė tam tikro saugumo nuo an RPKI (išteklių viešojo rakto infrastruktūra), kuris naudoja elektroninius sertifikatus, kad susietų ASN su tinkamais IP adresais.
Šis tyrimas rodo, kad įsilaužėliai praėjusį mėnesį pristatė AS16509 ir tikslesnį /24 maršrutą į AS-SET, indeksuotą ALTDB – nemokamą autonominių sistemų registrą, skirtą paskelbti savo BGP maršruto principus ir apeiti gynybą.
„Amazon“ gynyboje tai toli gražu ne pirmasis debesų paslaugų teikėjas, praradęs savo IP numerių kontrolę dėl BGP atakos. Daugiau nei du dešimtmečius BGP buvo jautrus neatsargioms konfigūracijos klaidoms ir akivaizdžiam sukčiavimui. Galiausiai saugumo problema yra viso sektoriaus problema, kurios negali išspręsti tik „Amazon“.
Šaltinis: https://crypto.news/how-amazons-3-hours-of-inactivity-cost-crypto-investors-235000/