在突然失去控制後,亞馬遜花了三個多小時才重新控制了它用來託管基於雲服務的IP 地址。
調查結果表明,由於這個缺陷,黑客可以從其中一個受感染客戶的客戶那裡竊取235,000 美元的加密貨幣。
黑客是如何做到的
通過使用一種稱為BGP 劫持的技術,該技術利用了基本Internet 協議中眾所周知的缺陷,攻擊者控制了大約256 個IP 地址。 BGP 是邊界網關協議的縮寫,是自治系統網絡(指導流量的組織)用於與其他ASN 通信的標準規範。
為了讓企業跟踪哪些IP 地址合法地遵循哪些ASN, BGP 仍然主要依賴於相當於口碑的互聯網,儘管它在實時路由全球大量數據方面發揮著關鍵作用。
黑客變得更加狡猾
8 月,一個屬於AS16509 的IP 地址塊(亞馬遜運營的至少3 個ASN 之一)突然宣布可通過英國網絡運營商Quickhost 擁有的自治系統209243 訪問。
IP 地址主機cbridge-prod2.celer.network 是一個子域,負責為Celer Bridge 加密交換提供關鍵的智能合約用戶界面,它是44.235.216.69 受感染區塊的一部分。
由於他們可以向拉脫維亞頒發機構證書GoGetSSL 證明他們控制了子域,因此黑客利用這次接管在8 月17 日為cbridge-prod2.celer.network 獲取了TLS 證書。
一旦獲得證書,犯罪者就會在同一個域中部署他們的智能合約,並監視試圖訪問合法Celer Bridge 頁面的訪問者。
根據Coinbase 威脅情報團隊的以下報告,欺詐性合同從32 個賬戶中竊取了234,866.65 美元。
亞馬遜似乎被咬了兩次
對亞馬遜IP 地址的BGP 攻擊導致大量比特幣損失。 2018 年發生了一起使用亞馬遜Route 53 系統進行域名服務的令人不安的相同事件。 MyEtherWallet客戶賬戶中價值約150,000 美元的加密貨幣。如果黑客使用的是瀏覽器信任的TLS 證書,而不是強迫用戶點擊通知的自簽名證書,那麼被盜的金額可能會更大。
在2018 年的攻擊之後,亞馬遜在路由源授權(ROA) 中添加了超過5,000 個IP 前綴,這些是公開可用的記錄,用於指定哪些ASN 有權廣播IP 地址。
這一變化提供了RPKI(資源公鑰基礎設施)的一些安全性,它使用電子證書將ASN 鏈接到其正確的IP 地址。
這項研究表明,黑客上個月引入了AS16509 和更精確的/24 路由到ALTDB 中索引的AS-SET,這是自治系統發布其BGP 路由原則的免費註冊表,以繞過防禦。
在亞馬遜的辯護中,它遠非第一個因BGP 攻擊而失去對其IP 號碼控制權的雲提供商。二十多年來,BGP 一直容易受到粗心配置錯誤和公然欺詐的影響。歸根結底,安全問題是一個全行業的問題,亞馬遜無法單獨解決。
OKEX下載,歐易下載,OKX下載
okex交易平台app下載