在突然失去控制后,亚马逊花了三个多小时才重新控制了它用来托管基于云服务的 IP 地址。
调查结果表明,由于这个缺陷,黑客可以从其中一个受感染客户的客户那里窃取 235,000 美元的加密货币。
黑客是如何做到的
通过使用一种称为BGP 劫持的技术,该技术利用了基本 Internet 协议中众所周知的缺陷,攻击者控制了大约 256 个 IP 地址。BGP 是边界网关协议的缩写,是自治系统网络(指导流量的组织)用于与其他 ASN 通信的标准规范。
为了让企业跟踪哪些 IP 地址合法地遵循哪些ASN, BGP 仍然主要依赖于相当于口碑的互联网,尽管它在实时路由全球大量数据方面发挥着关键作用。
黑客变得更加狡猾
8 月,一个属于 AS16509 的 IP 地址块(亚马逊运营的至少 3 个 ASN 之一)突然宣布可通过英国网络运营商 Quickhost 拥有的自治系统 209243 访问。
IP 地址主机 cbridge-prod2.celer.network 是一个子域,负责为 Celer Bridge 加密交换提供关键的智能合约用户界面,它是 44.235.216.69 受感染区块的一部分。
由于他们可以向拉脱维亚颁发机构证书 GoGetSSL 证明他们控制了子域,因此黑客利用这次接管在 8 月 17 日为 cbridge-prod2.celer.network 获取了 TLS 证书。
一旦获得证书,犯罪者就会在同一个域中部署他们的智能合约,并监视试图访问合法 Celer Bridge 页面的访问者。
根据 Coinbase 威胁情报团队的以下报告,欺诈性合同从 32 个账户中窃取了 234,866.65 美元。
亚马逊似乎被咬了两次
对亚马逊 IP 地址的 BGP 攻击导致大量比特币损失。2018 年发生了一起使用亚马逊 Route 53 系统进行域名服务的令人不安的相同事件。MyEtherWallet客户账户中价值约 150,000 美元的加密货币。如果黑客使用的是浏览器信任的 TLS 证书,而不是强迫用户点击通知的自签名证书,那么被盗的金额可能会更大。
在 2018 年的攻击之后,亚马逊在路由源授权 (ROA) 中添加了超过 5,000 个 IP 前缀,这些是公开可用的记录,用于指定哪些 ASN 有权广播 IP 地址。
这一变化提供了RPKI(资源公钥基础设施)的一些安全性,它使用电子证书将 ASN 链接到其正确的 IP 地址。
这项研究表明,黑客上个月引入了 AS16509 和更精确的 /24 路由到 ALTDB 中索引的 AS-SET,这是自治系统发布其 BGP 路由原则的免费注册表,以绕过防御。
在亚马逊的辩护中,它远非第一个因 BGP 攻击而失去对其 IP 号码控制权的云提供商。二十多年来,BGP 一直容易受到粗心配置错误和公然欺诈的影响。归根结底,安全问题是一个全行业的问题,亚马逊无法单独解决。