Amazon은 갑자기 통제력을 상실한 후 클라우드 기반 서비스를 호스팅하는 데 사용하는 IP 주소를 다시 통제하는 데 XNUMX시간 이상 걸렸습니다. 조사 결과 이 결함으로 인해 해커는 손상된 클라이언트 중 하나의 클라이언트로부터 235,000달러의 암호화폐를 훔칠 수 있음을 보여줍니다.
해커가 한 방법
이라는 기술을 사용하여 BGP 하이재킹, 기본 인터넷 프로토콜의 잘 알려진 결함을 이용하여 공격자는 약 256개의 IP 주소를 제어했습니다. BGP는 Border Gateway Protocol의 약자로 트래픽을 지시하는 조직인 자율 시스템 네트워크가 다른 ASN과 통신하는 데 사용하는 표준 사양입니다.
기업이 어떤 IP 주소를 합법적으로 준수하는지 추적하기 위해 ASN, BGP는 실시간 기반으로 전 세계에 방대한 양의 데이터를 라우팅하는 데 중요한 역할을 하지만 여전히 주로 입소문과 같은 인터넷에 의존합니다.
해커의 교활함
AS24에 속하는 IP 주소의 /16509 블록, 아마존, 209243월에 영국 기반 네트워크 운영자 Quickhost가 소유한 자율 시스템 XNUMX을 통해 액세스할 수 있다고 갑자기 발표되었습니다.
Celer Bridge 암호화 교환을 위한 중요한 스마트 계약 사용자 인터페이스를 제공하는 하위 도메인인 IP 주소 호스트 cbridge-prod2.celer.network는 44.235.216.69에서 손상된 블록의 일부였습니다.
라트비아 인증 기관 GoGetSSL에 자신이 하위 도메인을 제어한다는 것을 보여줄 수 있었기 때문에 해커는 2월 17일 cbridge-prodXNUMX.celer.network에 대한 TLS 인증서를 얻기 위해 인수를 활용했습니다.
일단 인증서가 있으면 가해자는 스마트 계약을 동일한 도메인에 배포하고 합법적인 Celer Bridge 페이지를 방문하려는 방문자를 감시했습니다.
Coinbase 위협 인텔리전스 팀의 다음 보고서에 따르면 사기성 계약은 234,866.65개 계정에서 $32를 빼돌렸습니다.
아마존은 두 번 물린 것 같습니다
Amazon IP 주소에 대한 BGP 공격으로 인해 상당한 비트코인 손실이 발생했습니다. 도메인 이름 서비스에 Amazon의 Route 53 시스템을 사용한 불안하게 동일한 사건 2018에서 발생했습니다.. 약 $150,000 상당의 암호화폐 MyEtherWallet 고객 계정. 만약 해커 사용자가 알림을 클릭하도록 강제하는 자체 서명 인증서 대신 브라우저에서 신뢰할 수 있는 TLS 인증서를 사용한 경우 도난당한 금액이 더 많았을 수 있습니다.
아마존은 2018년 공격 이후 5,000개 이상의 IP 접두사 추가 어떤 ASN이 IP 주소를 브로드캐스트할 권한이 있는지 지정하는 공개적으로 사용 가능한 레코드인 ROA(Route Origin Authorizations)로 이동합니다.
변경 사항은 RPKI(리소스 공개 키 인프라), 전자 인증서를 사용하여 ASN을 올바른 IP 주소에 연결합니다.
이 연구에 따르면 해커는 지난달 AS16509와 더 정확한 /24 경로를 ALTDB에 색인된 AS-SET에 도입했으며, 자율 시스템이 방어를 우회하기 위해 BGP 라우팅 원칙을 게시할 수 있는 무료 레지스트리입니다.
아마존 측에서는 BGP 공격으로 IP 번호를 통제하지 못한 최초의 클라우드 제공업체와는 거리가 멀다. XNUMX년 넘게 BGP는 부주의한 구성 오류와 노골적인 사기에 취약했습니다. 궁극적으로 보안 문제는 Amazon 단독으로 해결할 수 없는 섹터 전체의 문제입니다.
출처: https://crypto.news/how-amazons-3-hours-of-inactivity-cost-crypto-investors-235000/