Az Amazonnak több mint három órába telt, mire visszanyerte az irányítást a felhőalapú szolgáltatásokhoz használt IP-címek felett, miután hirtelen elvesztette az irányítást. Álláspontja bemutatják, hogy e hiba miatt a hackerek 235,000 XNUMX dollár kriptovalutát lophatnak el az egyik feltört ügyfél ügyfeleitől.
Hogyan csinálták a hackerek
ún BGP-eltérítés, amely egy alapvető internetes protokoll jól ismert hibáit használja ki, a támadók mintegy 256 IP-cím felett vették át az irányítást. A BGP, a Border Gateway Protocol rövidítése, egy szabványos specifikáció, amelyet az autonóm rendszerhálózatok – a forgalmat irányító szervezetek – használnak a más ASN-ekkel való kommunikációhoz.
A vállalkozások nyomon követhetik, melyik IP-címhez csatlakoznak jogszerűen ASN-ek, A BGP továbbra is elsősorban a szóbeszéd internetes megfelelőjére számít, jóllehet annak kritikus szerepe van a hatalmas mennyiségű adat valós idejű irányításában szerte a világon.
A hackerek ügyesebbek lettek
Az AS24-hez tartozó /16509-es IP-cím blokk, amely a legalább 3 által futtatott ASN egyike amazonaugusztusban hirtelen bejelentették, hogy a 209243 autonóm rendszeren keresztül érhető el, amely az Egyesült Királyságbeli Quickhost hálózatüzemeltető tulajdonában van.
A cbridge-prod2.celer.network IP-cím gazdagép, egy aldomain, amely a Celer Bridge kriptocsere kulcsfontosságú intelligens szerződéses felhasználói felületének biztosításáért felelős, a 44.235.216.69-es blokk része volt.
Mivel meg tudták mutatni a lett GoGetSSL tanúsító hatóságnak, hogy ők irányítják az aldomaint, a hackerek kihasználták az átvételt, hogy TLS-tanúsítványt szerezzenek a cbridge-prod2.celer.network számára augusztus 17-én.
Miután megkapták a tanúsítványt, az elkövetők ugyanabban a tartományban telepítették intelligens szerződésüket, és figyelték a látogatókat, akik megpróbálják felkeresni a legitim Celer Bridge oldalt.
A csaló szerződés 234,866.65 32 dollárt szippantott el XNUMX számláról, a Coinbase fenyegetésekkel foglalkozó hírszerző csapatának alábbi jelentése alapján.
Úgy tűnik, az Amazont kétszer megharapták
Egy Amazon IP-cím elleni BGP-támadás jelentős bitcoinveszteséget okozott. Egy nyugtalanítóan azonos incidens az Amazon Route 53 rendszerének tartománynév-szolgáltatása során 2018-ben fordult elő. Körülbelül 150,000 XNUMX dollár értékű kriptovaluta től MyEtherWallet ügyfélszámlák. Ha a hackerek egy böngészőben megbízható TLS-tanúsítványt használt egy önaláírt tanúsítvány helyett, amely arra kényszerítette a felhasználókat, hogy átkattintsák az értesítést, az ellopott összeg valószínűleg nagyobb lehetett.
A 2018-as támadást követően az Amazon több mint 5,000 IP-előtag hozzáadásával a Route Origin Authorizations (ROA-k), amelyek nyíltan elérhető rekordok, amelyek meghatározzák, hogy mely ASN-ek jogosultak IP-címek sugárzására.
A változás némi biztonságot nyújtott egy RPKI (Resource Public Key Infrastructure), amely elektronikus tanúsítványokkal kapcsolja össze az ASN-t a megfelelő IP-címükkel.
Ez a kutatás azt mutatja, hogy a hackerek a múlt hónapban bevezették az AS16509-et és a pontosabb /24-es útvonalat egy ALTDB-ben indexelt AS-SET-hez, amely egy ingyenes regisztrációs adatbázis autonóm rendszerek számára, hogy közzétegyék BGP-útválasztási elveiket, hogy megkerüljék a védelmet.
Az Amazon védelmében messze nem az első felhőszolgáltató, amely egy BGP-támadás miatt elvesztette az irányítást IP-számai felett. A BGP több mint két évtizede érzékeny a gondatlan konfigurációs hibákra és a kirívó csalásra. Végső soron a biztonsági probléma az egész szektorra kiterjedő probléma, amelyet az Amazon nem tud kizárólagosan megoldani.
Forrás: https://crypto.news/how-amazons-3-hours-of-inactivity-cost-crypto-investors-235000/