在突然失去控制后,亚马逊花了三个多小时才重新控制了它用来托管基于云的服务的 IP 地址。 发现 表明由于这个缺陷,黑客可以从其中一个受感染客户的客户那里窃取 235,000 美元的加密货币。
黑客是如何做到的
通过使用一种称为 BGP劫持,利用基础互联网协议中众所周知的缺陷,攻击者控制了大约 256 个 IP 地址。 BGP 是边界网关协议的缩写,是自治系统网络(指导流量的组织)用于与其他 ASN 通信的标准规范。
让企业跟踪哪些 IP 地址合法地遵守哪些 ASN, BGP 仍然主要依靠相当于口碑的互联网,尽管它在实时路由全球海量数据方面发挥着关键作用。
黑客变得更加狡猾
属于 AS24 的 /16509 块 IP 地址,至少 3 个 ASN 之一由 Amazon,于 209243 月突然宣布可通过自治系统 XNUMX 访问,该系统由英国网络运营商 Quickhost 拥有。
IP 地址主机 cbridge-prod2.celer.network 是一个子域,负责为 Celer Bridge 加密交换提供关键的智能合约用户界面,它是 44.235.216.69 受感染区块的一部分。
由于他们可以向拉脱维亚证书颁发机构 GoGetSSL 证明他们控制了子域,因此黑客利用这次接管在 2 月 17 日为 cbridge-prodXNUMX.celer.network 获取了 TLS 证书。
一旦获得证书,犯罪者就会在同一个域中部署他们的智能合约,并监视试图访问合法 Celer Bridge 页面的访问者。
根据 Coinbase 威胁情报团队的以下报告,欺诈性合同从 234,866.65 个账户中窃取了 32 美元。
亚马逊似乎被咬了两次
对亚马逊 IP 地址的 BGP 攻击导致大量比特币损失。 使用亚马逊的 Route 53 系统进行域名服务的令人不安的相同事件 发生在2018中. 价值约 150,000 美元的加密货币来自 MyEtherWallet 客户帐户。 如果 黑客 如果使用了浏览器信任的 TLS 证书,而不是强迫用户点击通知的自签名证书,那么被盗的数量可能会更大。
在 2018 年的袭击之后,亚马逊 添加了超过 5,000 个 IP 前缀 路由源授权 (ROA),它是公开可用的记录,指定哪些 ASN 有权广播 IP 地址。
这种变化提供了一些安全性 RPKI(资源公钥基础设施),它使用电子证书将 ASN 链接到其正确的 IP 地址。
这项研究表明,黑客上个月引入了 AS16509 和更精确的 /24 路由到 ALTDB 中索引的 AS-SET,这是自治系统发布其 BGP 路由原则的免费注册表,以绕过防御。
在亚马逊的辩护中,它远非第一个因 BGP 攻击而失去对其 IP 号码控制权的云提供商。 二十多年来,BGP 一直容易受到粗心配置错误和公然欺诈的影响。 归根结底,安全问题是一个全行业的问题,亚马逊无法单独解决。
资料来源:https://crypto.news/how-amazons-3-hours-of-inactivity-cost-crypto-investors-235000/