Amazon mengambil masa lebih daripada tiga jam untuk mendapatkan semula kawalan ke atas alamat IP yang digunakan untuk mengehoskan perkhidmatan berasaskan awan selepas tiba-tiba hilang kawalan. Penemuan menunjukkan bahawa disebabkan kecacatan ini, penggodam boleh mencuri $235,000 dalam mata wang kripto daripada pelanggan salah satu pelanggan yang terjejas.
Bagaimana Penggodam Melakukannya
Dengan menggunakan teknik yang dipanggil rampasan BGP, yang mengambil kesempatan daripada kelemahan terkenal dalam protokol Internet asas, penyerang mengawal kira-kira 256 alamat IP. BGP, singkatan untuk Border Gateway Protocol, ialah spesifikasi standard yang rangkaian sistem autonomi—organisasi yang mengarahkan trafik—digunakan untuk berkomunikasi dengan ASN lain.
Untuk perusahaan menjejaki alamat IP yang sah dipatuhi ASN, BGP masih bergantung terutamanya pada Internet yang setara dengan perkataan ke mulut, walaupun peranannya yang kritikal dalam menghalakan volum besar data di seluruh dunia pada asas masa nyata.
Penggodam Menjadi Lebih Licik
A /24 blok alamat IP yang dimiliki oleh AS16509, salah satu daripada sekurang-kurangnya 3 ASN yang dijalankan oleh Amazon, diumumkan secara tiba-tiba boleh diakses melalui sistem autonomi 209243, yang dimiliki oleh pengendali rangkaian yang berpangkalan di UK, Quickhost, pada bulan Ogos.
Hos alamat IP cbridge-prod2.celer.network, subdomain yang bertanggungjawab menyediakan antara muka pengguna kontrak pintar yang penting untuk pertukaran kripto Celer Bridge, adalah sebahagian daripada blok yang terjejas di 44.235.216.69.
Memandangkan mereka boleh menunjukkan kepada pihak berkuasa sijil Latvia GoGetSSL bahawa mereka mengawal subdomain, penggodam menggunakan pengambilalihan untuk mendapatkan sijil TLS untuk cbridge-prod2.celer.network pada 17 Ogos.
Sebaik sahaja mereka mempunyai sijil, pelaku menggunakan kontrak pintar mereka dalam domain yang sama dan memerhatikan pelawat yang cuba melawat halaman Celer Bridge yang sah.
Kontrak penipuan itu menyedut $234,866.65 daripada 32 akaun, berdasarkan laporan berikut daripada pasukan perisikan ancaman Coinbase.
Nampaknya Amazon Digigit Dua Kali
Serangan BGP ke atas alamat IP Amazon telah mengakibatkan kerugian bitcoin yang besar. Insiden serupa yang meresahkan menggunakan sistem Laluan 53 Amazon untuk perkhidmatan nama domain berlaku di 2018. Kira-kira $150,000 nilai mata wang kripto daripada MyEtherWallet akaun pelanggan. Sekiranya penggodam telah menggunakan sijil TLS yang dipercayai pelayar dan bukannya sijil yang ditandatangani sendiri yang memaksa pengguna mengklik melalui notis, jumlah yang dicuri mungkin lebih besar.
Berikutan serangan 2018, Amazon menambahkan lebih 5,000 awalan IP kepada Keizinan Asal Laluan (ROA), yang merupakan rekod yang tersedia secara terbuka yang menentukan ASN yang mempunyai hak untuk menyiarkan alamat IP.
Perubahan itu memberikan sedikit keselamatan daripada an RPKI (Infrastruktur Kunci Awam Sumber), yang menggunakan sijil elektronik untuk memautkan ASN ke alamat IP yang betul.
Penyelidikan ini menunjukkan bahawa penggodam bulan lepas memperkenalkan AS16509 dan laluan /24 yang lebih tepat kepada AS-SET yang diindeks dalam ALTDB, pendaftaran percuma untuk sistem autonomi untuk menerbitkan prinsip penghalaan BGP mereka, untuk mengatasi pertahanan.
Dalam pertahanan Amazon, Ia jauh daripada penyedia awan pertama yang telah kehilangan kawalan nombor IPnya akibat serangan BGP. Selama lebih dua dekad, BGP terdedah kepada ralat konfigurasi yang cuai dan penipuan yang terang-terangan. Akhirnya, isu keselamatan ialah isu seluruh sektor yang tidak dapat diselesaikan oleh Amazon secara eksklusif.
Sumber: https://crypto.news/how-amazons-3-hours-of-inactivity-cost-crypto-investors-235000/