Amazon кенеттен бақылауды жоғалтқаннан кейін бұлтқа негізделген қызметтерді орналастыру үшін пайдаланатын IP мекенжайларын бақылауды қалпына келтіруге үш сағаттан астам уақыт кетті. Зерттеулер Осы кемшілікке байланысты хакерлер бұзылған клиенттердің бірінің клиенттерінен $235,000 XNUMX криптовалюта ұрлауы мүмкін екенін көрсетіңіз.
Хакерлер мұны қалай жасады
деп аталатын техниканы қолдану арқылы BGP ұрлауіргелі Интернет протоколындағы белгілі кемшіліктерді пайдаланатын , шабуылдаушылар шамамен 256 IP мекенжайын бақылауға алды. BGP, Border Gateway Protocol сөзінің қысқартылған нұсқасы, автономды жүйе желілері – трафикті бағыттайтын ұйымдар – басқа ASN-мен байланысу үшін пайдаланатын стандартты спецификация.
Кәсіпорындарға қай IP мекенжайлары заңды түрде сәйкес келетінін қадағалау үшін ASN, BGP әлі де бірінші кезекте ауызша сөйлеудің Интернеттегі баламасын есептейді, бірақ оның нақты уақыт режимінде бүкіл әлем бойынша деректердің үлкен көлемін бағыттаудағы маңызды рөлі.
Хакерлер көбірек айлакер болды
AS24-ға жататын IP мекенжайларының A /16509 блогы, кемінде 3 ASN басқаратын біреуі Amazon, тамыз айында Ұлыбританияда орналасқан Quickhost желі операторына тиесілі 209243 автономды жүйесі арқылы қол жетімді болатыны кенеттен жарияланды.
Cbridge-prod2.celer.network IP мекенжайы, Celer Bridge криптовалюта алмасуы үшін маңызды смарт келісімшарт пайдаланушы интерфейсін қамтамасыз етуге жауапты қосалқы домен 44.235.216.69 бойынша бұзылған блоктың бөлігі болды.
Олар латвиялық GoGetSSL сертификаттау органына субдоменді басқаратынын көрсете алғандықтан, хакерлер 2 тамызда cbridge-prod17.celer.network үшін TLS сертификатын алу үшін басып алуды пайдаланды.
Сертификат алғаннан кейін, қылмыскерлер өздерінің смарт келісім-шарттарын сол доменде орналастырды және заңды Celer Bridge бетіне кіруге тырысқан келушілерді бақылады.
Алаяқтық келісім-шарт Coinbase қауіп барлау тобының келесі есебіне негізделген 234,866.65 аккаунттан 32 XNUMX доллар алды.
Амазонканы екі рет шағып алған сияқты
Amazon IP мекенжайына BGP шабуылы биткоиннің айтарлықтай жоғалуына әкелді. Домендік атауларға қызмет көрсетуге арналған Amazon компаниясының Route 53 жүйесін пайдаланатын алаңдатарлық бірдей оқиға 2018 жылы орын алды. бастап шамамен $150,000 XNUMX криптовалюта MyEtherWallet тұтынушы шоттары. Егер хакерлер пайдаланушыларды ескертуді басуға мәжбүрлейтін өздігінен қол қоятын сертификаттың орнына браузерде сенімді TLS сертификатын пайдаланған болса, ұрланған сома одан да көп болуы мүмкін.
2018 жылғы шабуылдан кейін Amazon 5,000-нан астам IP префикстерін қосты Route Origin Authorizations (ROAs), олар қандай ASN-тердің IP мекенжайларын таратуға құқығы бар екенін көрсететін ашық қол жетімді жазбалар.
Өзгеріс кейбір қауіпсіздікті қамтамасыз етті RPKI (ресурстың ашық кілтінің инфрақұрылымы), ол ASN-ді дұрыс IP мекенжайларына байланыстыру үшін электрондық сертификаттарды пайдаланады.
Бұл зерттеу көрсеткендей, өткен айда хакерлер AS16509 нұсқасын және ALTDB-де индекстелген AS-SET-ке дәлірек /24 маршрутты енгізді, бұл қорғанысты айналып өту үшін автономды жүйелердің BGP бағыттау принциптерін жариялау үшін тегін тізілімі.
Amazon қорғанысында ол BGP шабуылына байланысты IP нөмірлерін бақылауды жоғалтқан бірінші бұлттық провайдерден алыс. Жиырма жылдан астам уақыт бойы BGP абайсыз конфигурация қателеріне және ашық алаяқтыққа бейім болды. Сайып келгенде, қауіпсіздік мәселесі тек Amazon арқылы шешілмейтін сектордағы мәселе болып табылады.
Дереккөз: https://crypto.news/how-amazons-3-hours-of-inactivity-cost-crypto-investors-235000/