Amazon отне повече от три часа, за да си възвърне контрола върху IP адресите, които използва за хостване на облачни услуги, след като внезапно загуби контрол. Данни показват, че поради този недостатък хакерите могат да откраднат 235,000 XNUMX долара в криптовалути от клиенти на един от компрометираните клиенти.
Как хакерите го направиха
Чрез използване на техника, наречена BGP отвличане, който се възползва от добре известни пропуски в основен интернет протокол, нападателите поеха контрола над около 256 IP адреса. BGP, съкращение от Border Gateway Protocol, е стандартна спецификация, която автономните системни мрежи – организации, които насочват трафика – използват, за да комуникират с други ASN.
За предприятията да следят кои IP адреси законно се придържат към кои ASN, BGP все още разчита основно на интернет еквивалента на „от уста на уста“, въпреки че има критична роля в маршрутизирането на огромни обеми данни по целия свят в реално време.
Хакерите станаха по-хитри
/24 блок от IP адреси, който принадлежи на AS16509, един от поне 3 ASN, управлявани от Амазонка, беше внезапно обявено, че е достъпно през автономна система 209243, която е собственост на базирания в Обединеното кралство мрежов оператор Quickhost, през август.
Хостът на IP адреса cbridge-prod2.celer.network, поддомейн, отговарящ за предоставянето на важен потребителски интерфейс за интелигентен договор за крипто борсата Celer Bridge, беше част от компрометирания блок на адрес 44.235.216.69.
Тъй като можеха да покажат на латвийския сертифициращ орган GoGetSSL, че контролират поддомейна, хакерите използваха поглъщането, за да получат TLS сертификат за cbridge-prod2.celer.network на 17 август.
След като получиха сертификата, извършителите внедриха интелигентния си договор в рамките на същия домейн и наблюдаваха за посетители, които се опитват да посетят легитимната страница на Celer Bridge.
Измамният договор е източил 234,866.65 32 долара от XNUMX акаунта, въз основа на следния доклад от екипа за разузнаване на заплахи на Coinbase.
Изглежда Amazon е ухапан два пъти
BGP атака срещу IP адрес на Amazon доведе до значителни загуби на биткойни. Обезпокояващо идентичен инцидент, използващ системата Route 53 на Amazon за услуга за имена на домейни възникна през 2018г. Криптовалута на стойност приблизително $150,000 XNUMX от MyEtherWallet клиентски акаунти. Ако хакери е използвал TLS сертификат, доверен на браузъра, вместо самоподписан, който принуждава потребителите да щракнат върху известие, откраднатата сума вероятно е била по-голяма.
След нападението през 2018 г. Amazon добави над 5,000 IP префикса към Route Origin Authorizations (ROA), които са открито достъпни записи, които уточняват кои ASN имат право да излъчват IP адреси.
Промяната осигури известна сигурност от an RPKI (инфраструктура на публичен ключ за ресурс), който използва електронни сертификати за свързване на ASN с техните правилни IP адреси.
Това изследване показва, че хакерите миналия месец въведоха AS16509 и по-точния /24 маршрут до AS-SET, индексиран в ALTDB, безплатен регистър за автономни системи, за да публикуват своите принципи за маршрутизиране на BGP, за да заобиколят защитите.
В защита на Amazon, това далеч не е първият облачен доставчик, който е загубил контрол над своите IP номера поради BGP атака. Повече от две десетилетия BGP е податлив на невнимателни конфигурационни грешки и очевидни измами. В крайна сметка проблемът със сигурността е проблем за целия сектор, който не може да бъде разрешен изключително от Amazon.
Източник: https://crypto.news/how-amazons-3-hours-of-inactivity-cost-crypto-investors-235000/