Amazonilla kesti yli kolme tuntia saada takaisin hallintaansa pilvipohjaisten palveluiden isännöintiin käyttämiensä IP-osoitteiden hallinnan, kun se yhtäkkiä menetti hallinnan. Tulokset osoittavat, että tämän puutteen vuoksi hakkerit voivat varastaa 235,000 XNUMX dollaria kryptovaluuttoja yhden vaarantuneen asiakkaan asiakkailta.
Kuinka hakkerit tekivät sen
Käyttämällä tekniikkaa ns BGP-kaappaus, joka hyödyntää Internet-protokollan tunnettuja puutteita, hyökkääjät ottivat hallintaansa noin 256 IP-osoitetta. BGP, lyhenne sanoista Border Gateway Protocol, on standardispesifikaatio, jota autonomiset järjestelmäverkot – liikennettä ohjaavat organisaatiot – käyttävät viestiessään muiden ASN:iden kanssa.
Yritykset voivat seurata, mitkä IP-osoitteet laillisesti liittyvät mihinkin ASN:t, BGP luottaa edelleen ensisijaisesti Internet-vastaavaan suusta suuhun, vaikkakin sen ratkaiseva rooli valtavien tietomäärien reitittämisessä kaikkialla maailmassa reaaliaikaisesti.
Hakkereista tuli kekseliämpiä
/24 IP-osoitteiden lohko, joka kuuluu AS16509:ään, joka on yksi vähintään kolmesta ASN:stä, joita ylläpitää Amazon, ilmoitettiin äkillisesti, että se on käytettävissä autonomisen järjestelmän 209243 kautta, jonka omistaa brittiläinen verkko-operaattori Quickhost, elokuussa.
IP-osoiteisäntä cbridge-prod2.celer.network, aliverkkotunnus, joka vastaa ratkaisevan älykkään sopimuskäyttöliittymän tarjoamisesta Celer Bridge -salauspörssille, oli osa vaarantunutta lohkoa osoitteessa 44.235.216.69.
Koska he pystyivät osoittamaan Latvian varmenneviranomaiselle GoGetSSL:lle hallitsevansa aliverkkotunnusta, hakkerit käyttivät haltuunottoa saadakseen TLS-varmenteen cbridge-prod2.celer.networkille 17. elokuuta.
Kun heillä oli sertifikaatti, tekijät ottivat älykkään sopimuksensa käyttöön samassa verkkotunnuksessa ja seurasivat vierailijoita, jotka yrittävät vierailla laillisella Celer Bridge -sivulla.
Vilpillinen sopimus sai 234,866.65 32 dollaria XNUMX tililtä seuraavan Coinbasen uhkatiedustelun raportin perusteella.
Näyttää siltä, että Amazonia on purettu kahdesti
BGP-hyökkäys Amazonin IP-osoitteeseen on johtanut huomattaviin bitcoin-tappioihin. Hämmentävän identtinen tapaus Amazonin Route 53 -järjestelmän verkkotunnuspalvelussa tapahtui 2018: ssä. Noin 150,000 XNUMX dollarin arvosta kryptovaluuttaa alkaen MyEtherWallet asiakastilejä. Jos hakkerit oli käyttänyt selaimeen luotettua TLS-varmennetta itse allekirjoitetun varmenteen sijaan, joka pakotti käyttäjät napsauttamaan ilmoitusta, varastettu määrä olisi todennäköisesti voinut olla suurempi.
Vuoden 2018 hyökkäyksen jälkeen Amazon lisätty yli 5,000 IP-etuliitettä ROA:t (Route Origin Authorizations), jotka ovat avoimesti saatavilla olevia tietueita, jotka määrittelevät millä ASN:illä on oikeus lähettää IP-osoitteita.
Muutos antoi jonkin verran turvaa RPKI (Resource Public Key Infrastructure), joka käyttää sähköisiä varmenteita linkittääkseen ASN:n oikeisiin IP-osoitteisiinsa.
Tämä tutkimus osoittaa, että hakkerit esittelivät viime kuussa AS16509:n ja tarkemman /24-reitin AS-SETiin, joka on indeksoitu ALTDB:hen, joka on ilmainen rekisteri autonomisille järjestelmille BGP-reititysperiaatteiden julkaisemista varten puolustaakseen.
Amazonin puolustukseksi se ei ole kaukana ensimmäisestä pilvipalveluntarjoajasta, joka on menettänyt IP-numeroiden hallinnan BGP-hyökkäyksen vuoksi. Yli kahden vuosikymmenen ajan BGP on ollut herkkä huolimattomille määritysvirheille ja räikeille petoksille. Viime kädessä tietoturvaongelma on sektorinlaajuinen ongelma, jota Amazon ei voi ratkaista yksinomaan.
Lähde: https://crypto.news/how-amazons-3-hours-of-inactivity-cost-crypto-investors-235000/