Amazon a avut nevoie de mai mult de trei ore pentru a recăpăta controlul asupra adreselor IP pe care le utilizează pentru a găzdui servicii bazate pe cloud, după ce a pierdut brusc controlul. Constatări arată că din cauza acestui defect, hackerii ar putea fura 235,000 USD în criptomonede de la clienții unuia dintre clienții compromisi.
Cum au făcut-o hackerii
Prin utilizarea unei tehnici numite Deturnarea BGP, care profită de defecte binecunoscute ale unui protocol fundamental de Internet, atacatorii au preluat controlul asupra a aproximativ 256 de adrese IP. BGP, prescurtare pentru Border Gateway Protocol, este o specificație standard pe care rețelele de sistem autonome - organizațiile care direcționează traficul - o folosesc pentru a comunica cu alte ASN-uri.
Pentru ca întreprinderile să urmărească ce adrese IP aderă în mod legitim la care ASN-uri, BGP se bazează încă în primul rând pe echivalentul cuvântului în gură pe Internet, deși rolul său esențial în direcționarea în timp real a volumelor masive de date pe tot globul.
Hackerii au devenit mai vicleni
Un bloc /24 de adrese IP care aparține lui AS16509, unul dintre cel puțin 3 ASN-uri conduse de Amazon, a fost anunțat brusc că va fi accesibil prin sistemul autonom 209243, care este deținut de operatorul de rețea Quickhost din Marea Britanie, în august.
Gazda adresei IP cbridge-prod2.celer.network, un subdomeniu responsabil de furnizarea unei interfețe de utilizator cruciale pentru smart contract pentru schimbul de criptomonede Celer Bridge, a făcut parte din blocul compromis la 44.235.216.69.
Deoarece au putut arăta autorității de certificare letone GoGetSSL că controlează subdomeniul, hackerii au folosit preluarea pentru a obține un certificat TLS pentru cbridge-prod2.celer.network pe 17 august.
Odată ce au primit certificatul, infractorii și-au implementat contractul inteligent în același domeniu și au urmărit vizitatorii care încercau să viziteze pagina legitimă Celer Bridge.
Contractul fraudulos a absorbit 234,866.65 USD din 32 de conturi, pe baza următorului raport al echipei de informații despre amenințări a Coinbase.
Se pare că Amazon a fost mușcat de două ori
Un atac BGP asupra unei adrese IP Amazon a dus la pierderi substanțiale de bitcoin. Un incident neliniștitor de identic folosind sistemul Amazon Route 53 pentru serviciul de nume de domenii a avut loc în 2018. Criptomonedă în valoare de aproximativ 150,000 USD de la MyEtherWallet conturile clientilor. Dacă hackeri a folosit un certificat TLS de încredere în browser în loc de unul autosemnat, care îi obliga pe utilizatori să facă clic pe o notificare, suma furată probabil ar fi fost mai mare.
În urma atacului din 2018, Amazon a adăugat peste 5,000 de prefixe IP la Autorizațiile de origine a rutei (ROA), care sunt înregistrări disponibile în mod deschis care specifică care ASN-uri au dreptul de a difuza adrese IP.
Modificarea a oferit o oarecare siguranță de la un RPKI (Infrastructură cu cheie publică a resurselor), care utilizează certificate electronice pentru a lega ASN la adresele lor IP corecte.
Această cercetare arată că hackerii au introdus luna trecută AS16509 și ruta mai precisă /24 la un AS-SET indexat în ALTDB, un registru gratuit pentru sistemele autonome pentru a-și publica principiile de rutare BGP, pentru a ocoli apărările.
În apărarea Amazon, este departe de primul furnizor de cloud care și-a pierdut controlul asupra numerelor IP din cauza unui atac BGP. De peste două decenii, BGP a fost susceptibil la erori de configurare neglijentă și fraude flagrante. În cele din urmă, problema de securitate este o problemă la nivel de sector care nu poate fi rezolvată exclusiv de Amazon.
Sursa: https://crypto.news/how-amazons-3-hours-of-inactivity-cost-crypto-investors-235000/