Amazon brukte mer enn tre timer på å gjenvinne kontrollen over IP-adressene den bruker for å være vert for skybaserte tjenester etter at den plutselig mistet kontrollen. Funn vise at på grunn av denne feilen kan hackere stjele $235,000 XNUMX i kryptovalutaer fra klienter til en av de kompromitterte klientene.
Hvordan hackerne gjorde det
Ved å bruke en teknikk kalt BGP-kapring, som utnytter velkjente feil i en grunnleggende Internett-protokoll, tok angriperne kontroll over rundt 256 IP-adresser. BGP, forkortelse for Border Gateway Protocol, er en standardspesifikasjon som autonome systemnettverk – organisasjoner som dirigerer trafikk – bruker for å kommunisere med andre ASN-er.
For bedrifter å holde styr på hvilke IP-adresser som lovlig overholder hvilke ASN-er, BGP regner fortsatt først og fremst med Internett-ekvivalenten til jungeltelegrafen, selv om dens kritiske rolle i å dirigere enorme mengder data over hele kloden på en sanntidsbasis.
Hackerne ble mer dyktige
En /24-blokk med IP-adresser som tilhører AS16509, en av minst 3 ASN-er drevet av Amazon, ble brått annonsert å være tilgjengelig gjennom det autonome systemet 209243, som eies av den britiske nettverksoperatøren Quickhost, i august.
IP-adresseverten cbridge-prod2.celer.network, et underdomene som har ansvaret for å tilby et viktig smart kontraktsbrukergrensesnitt for Celer Bridge-kryptobørsen, var en del av den kompromitterte blokken på 44.235.216.69.
Siden de kunne vise den latviske sertifikatmyndigheten GoGetSSL at de kontrollerte underdomenet, brukte hackerne overtakelsen for å få et TLS-sertifikat for cbridge-prod2.celer.network 17. august.
Når de hadde fått sertifikatet, distribuerte gjerningsmennene sin smarte kontrakt innenfor samme domene og så etter besøkende som forsøkte å besøke den legitime Celer Bridge-siden.
Den uredelige kontrakten hentet $234,866.65 32 fra XNUMX kontoer, basert på følgende rapport fra Coinbases trusseletterretningsteam.
Det ser ut til at Amazon har blitt bitt to ganger
Et BGP-angrep på en Amazon IP-adresse har resultert i betydelige bitcoin-tap. En foruroligende identisk hendelse ved bruk av Amazons Route 53-system for domenenavntjeneste skjedde i 2018. Omtrent $150,000 XNUMX i kryptovaluta fra MyEtherWallet kundekontoer. Hvis hackere hadde brukt et nettleser-klarert TLS-sertifikat i stedet for et selvsignert sertifikat som tvang brukere til å klikke seg gjennom en melding, kan det stjålne beløpet sannsynligvis ha vært større.
Etter angrepet i 2018, Amazon lagt til over 5,000 IP-prefikser til Route Origin Authorizations (ROA), som er åpent tilgjengelige poster som spesifiserer hvilke ASN-er som har rett til å kringkaste IP-adresser.
Endringen ga en viss trygghet fra en RPKI (Resource Public Key Infrastructure), som bruker elektroniske sertifikater for å koble ASN til deres riktige IP-adresser.
Denne forskningen viser at hackerne forrige måned introduserte AS16509 og den mer presise /24-ruten til et AS-SET indeksert i ALTDB, et gratis register for autonome systemer for å publisere BGP-rutingsprinsippene deres, for å komme seg rundt forsvaret.
Til Amazons forsvar er det langt fra den første skyleverandøren som har mistet kontrollen over IP-numrene sine på grunn av et BGP-angrep. I over to tiår har BGP vært utsatt for uforsiktige konfigurasjonsfeil og åpenbar svindel. Til syvende og sist er sikkerhetsproblemet et sektoromfattende problem som ikke kan løses utelukkende av Amazon.
Kilde: https://crypto.news/how-amazons-3-hours-of-inactivity-cost-crypto-investors-235000/