Pozadí
Představitelé Celer Network 18. srpna uvedli, že mezi 3:45 a 6:00 pekingského času byli někteří uživatelé cBridge nasměrováni na škodlivé smart kontrakty. Zpočátku bylo front-endové rozhraní cBridge podezřelé z napadení DNS útokem.
Zcela odlišný od předchozích incidentů hackování mostů se zkříženými řetězy, jako byly Nomad, Wormhole, Ronin, Harmony atd., tento útok nebyl způsoben chybami v inteligentních kontraktech a protokolech zkřížených řetězců nebo průnikem souvisejících serverů a křížovým Majetek řetězce uzamčený v cBridge byl také uchován v bezpečí. V tomto útoku se hackeři přímo zaměřovali na základní infrastrukturu v internetové architektuře mimo systém Celer a umožnili uživatelům napříč řetězci přistupovat k „phishingovému“ front-end uživatelskému rozhraní během určitého časového období tím, že oklamali základní směrovací protokol internetu ( BGP). Síť Celer byla schopna omezit škody díky své rychlé reakci. Důvodem je to, že tým Celer Network má 24hodinový monitorovací systém. Jejich tým zákaznických služeb byl schopen identifikovat problém a včas upozornit komunitu. Tým Celer Network zmocnil bezpečnostní tým SlowMist, aby na tuto nouzovou situaci reagoval a provedl hloubkové vyšetřování.
Proces analýzy
Tým Celer Network měl zpočátku podezření na útok DNS a po komunikaci s nimi jsme se mohli dozvědět více o názvu domény, o které se jedná: cbridge-prod2.celer.network. Zjistili jsme, že prohlížeč během útoku nehlásil chybu certifikátu. Naše šetření proto začalo tím, že jsme se nejprve zabývali možností útoku DNS. (Zvláštní poděkování patří @greysign1 za to, že nám pomáháte rychle zkontrolovat možnost útoku DNS)
Začali jsme kontrolou příslušných informací o certifikátu:
Zdá se, že certifikát byl neočekávaně změněn, přičemž původní certifikát vydaný společností Let’s Encrypt byl nahrazen falešným certifikátem vydaným společností GoGetSSL.
GoGetSSL může vydat bezplatný 90denní certifikát:
Analýza certifikátu 1: https://crt.sh/?id=7356185959
Chyba kontroly CRL se na certifikátu objeví v následující době:
Analýza certifikátu 2: https://crt.sh/?id=7356185959
Tento certifikát má také chybu kontroly CRL v následujících časech:
Po prozkoumání IP adresy, certifikátu a dalších informací spojených s certifikátem 1 jsme zjistili, že IP adresa vázaná tímto certifikátem byla 44.235.216.69.
IP adresa certifikátu 2 nedokázala zjistit IP adresu odpovídající certifikátu 2, což mohlo být způsobeno krátkým trváním útoku a tím, že internetový vyhledávač neshromáždil relevantní informace.
V důsledku toho jsme naši analýzu zaměřili na data o rozlišení IP pro doménu cbridge-prod2.celer.network:
IP adresa, 44.235.216.69, byla spojena s cbridge-prod2.celer.network po delší dobu.
Zde je otázka: Skutečnost, že tato IP adresa, 44.235.216.69, byla spojena s cbridge-prod2.celer.network po delší dobu, dokazuje, že patřila oficiálnímu serveru Celer Network. To potvrdil i tým Celer Network. Proč byl tedy s touto IP spojen padělaný certifikát?
Začali jsme tedy zkoumat AS 44.235.216.69 a zjistili jsme, že AS odpovídající této IP je neobvyklé.
AS16509 oznamuje bogony::
Při pohledu přes bogony jsme schopni určit, že to je obecně případ, kdy útočník podvrhne IP adresu, aby provedl útok: https://networkdirection.net/articles/routingandswitching/bgp-bogonsandmartians/ https://forum .networklessons.com/t/what-are-bogons/6333
Protože AS na 44.235.216.69 vykazoval anomálie, měli jsme nejprve podezření, že problém byl s BGP, a proto jsme se obrátili na Celer Network, abychom získali IP adresu útočníka: 54.84.236.100. Zjistili jsme, že výjimku má i AS14618, kde se nachází IP adresa. (AS14618 také oznamuje bogony)
Shodou okolností byl před AS14618 AS16509 (AS16509 je také AS, kde se nachází 44.235.216.69). To nás upozornilo na možnost BGP útoku.
Naše šetření odhalilo, že IP: 54.84.236.100 byla označena jako škodlivá.
Z naší komunity jsme shromáždili relevantní informace o IP: 54.84.236.100 a našli jsme zmínku o tom, že tato IP adresa souvisí s jiným incidentem útoku BGP, ke kterému došlo v roce 2014. Protože však k tomuto incidentu došlo již dávno, již nemusí být relevantní.
Poté jsme pokračovali ve vyšetřování sledováním záznamů, které po sobě zanechal tento útok BGP:
Sledování záznamu BGP pro útok IP: 54.84.236.100 odhalilo, že trasa již není dostupná.
Pokračovali jsme ve sledování tras BGP routeru pro celerovu IP: 44.235.216.69 a byli jsme schopni najít správnou cestu.
Poté jsme zkontrolovali protokol změn uzlu BGP: Pekingský čas: 18. 8. 2022 2:48 — 18. 8. 2022 7:48 UTC+8
Dne 18. 8. 2022 bylo v časovém období mezi 2:48 – 7:48 BST zjištěno velké množství přidání uzlů a odstranění záznamů změn.
Pokračovali jsme v monitorování protokolu změn AS a zjistili jsme, že AS14618 měl dříve směrovací informace 44.235.216.0/24, ale cesta byla poté změněna na Staženo, což dokazuje, že:
44.235.216.0/24 v AS14618 bývala optimální cesta
Nyní 44.235.216.0/24 v AS14618 již není optimální cesta; je staženo.
(Když dojde k útoku BGP, útočník zveřejní optimální cestu k přímému provozu na svůj vlastní server)
Abychom získali přesnější data, použili jsme následující bgplay ke kontrole změn v cestách souvisejících s 44.235.216.69 v době útoku.
Dne 17.8.2022 můžeme vidět, že v období mezi 19:19:23 +UTC a 23:19:23 +UTC došlo k výraznému kolísání informací o směrovacích cestách BGP.
Tato změna se odráží ve směrování provozu z 44.235.216.0/24 na AS14618, kde provoz z 44.235.216.0/24 po útoku odchází přes AS16509.
V důsledku toho se domníváme, že tento incident je pravděpodobně událostí útoku BGP, kde se zdá, že AS14618 je uzel pod kontrolou útočníka (směrovač AS14618 může mít bezpečnostní problémy a může být zneužit útočníky), přičemž útok trvající přibližně 4 hodiny.
Útočníkovi se podařilo svázat Certifikát 1 (padělaný certifikát) s IP Celer Network: 44.235.216.69, protože útočník měl škodlivý server se stejnou IP. Protože gogetssl podporuje http pro autentizaci, mohou do škodlivého serveru pouze vložit text poskytnutý gogetssl. Proto je možné svázat certifikát 1 přesměrováním provozu na škodlivý server se stejnou IP prostřednictvím útoku BGP. V důsledku toho byl prohlížeč upozorněn na chybu certifikátu.
Zjistili jsme, že AS14618 byl řízen útočníkem z následujících důvodů.
Útočník nejprve nasměroval provoz 44.235.216.69 na AS14618 a po útoku směroval 44.235.216.69 zpět na AS16509.
Attack IP: 54.84.236.100 je také uvnitř AS14618.
Po útoku byl AS14618 stažen na 44.235.216.69.
Odpověď na tuto otázku: Skutečnost, že tato IP adresa, 44.235.216.69, byla spojena s cbridge-prod2.celer.network po delší dobu, dokazuje, že patřila oficiálnímu serveru Celer Network. To potvrdil i tým Celer Network. Proč byl tedy s touto IP spojen padělaný certifikát?
Pokud ke komunikaci používáte protokol HTTPS, nemůžete šifrovat/dešifrovat data (včetně dat komunikace klient/server) bez získání soukromého klíče certifikátu. Aby se zajistilo, že certifikát je správný a bude schopen provést útok typu man-in-the-middle, musí útočník znovu svázat certifikát použitý v autoritě se škodlivým serverem se stejnou IP 44.235.216.69. To umožňuje útočníkovi dešifrovat data klienta a vložit škodlivý kód do dat paketu odpovědi.
Analýza Závěr
Tento útok jsme vyšetřovali ve spolupráci s týmem Celer Network. Nehledě na to, že se jednalo o sofistikovaný pokus o BGP útok na Celer Network, kdy útočník připravoval vše od načasování útoku, padělání certifikátů, řízení AS a dalších operací.
Nakonec si uvědomujeme, že mnoho projektů si je již vědomo rizik spojených s útoky BGP a přijalo vhodná opatření. Mnoho z nich však stále neví, zejména pokud jde o úpravy síťové cesty vyvolané změnami AS. Bez adekvátní přípravy a opatření reakce existuje značné riziko dalších útoků ze strany stejných nebo jiných útočníků. Vyzýváme proto, aby organizace, poskytovatelé internetových služeb a poskytovatelé serverového hostingu rozpoznali tato rizika a koordinovali obranné strategie, aby se zabránilo opakování podobných incidentů. A jako vždy, pokud budete někdy potřebovat pomoc, kontaktujte bezpečnostní tým SlowMist.
Příloha
cbridge-prod2.celer.network DNS graf:
