Vérité derrière l'incident du pont inter-chaînes cBridge du réseau Celer : attaque BGP

Arrière-plan

Les responsables du réseau Celer ont déclaré le 18 août qu'entre 15 h 45 et 18 h, heure de Pékin, certains utilisateurs de cBridge avaient été dirigés vers des contrats intelligents malveillants. Initialement, l'interface frontale de cBridge était soupçonnée d'être compromise par une attaque DNS.

Complètement différente des précédents incidents de piratage de ponts inter-chaînes tels que Nomad, Wormhole, Ronin, Harmony, etc., cette attaque n'a pas été causée par des bugs dans les contrats intelligents et les protocoles inter-chaînes ou par l'intrusion de serveurs associés, et le cross- les actifs de la chaîne verrouillés dans cBridge ont également été conservés en sécurité. Dans cette attaque, les pirates ont directement ciblé l'infrastructure sous-jacente de l'architecture Internet en dehors du système Celer et ont permis aux utilisateurs inter-chaînes d'accéder à une interface utilisateur frontale de « phishing » dans un certain laps de temps en trompant le protocole de routage sous-jacent d'Internet ( BGP).Le réseau Celer a pu limiter les dommages grâce à sa réponse rapide. En effet, l'équipe du réseau Celer dispose d'un système de surveillance 24 heures sur 24. Leur équipe de service client a pu identifier le problème et alerter la communauté en temps opportun. L'équipe Celer Network a habilité l'équipe de sécurité de SlowMist à répondre à cette urgence et à mener une enquête approfondie.

Processus d'analyse

L'équipe de Celer Network a d'abord soupçonné une attaque DNS, et après avoir communiqué avec eux, nous avons pu en apprendre davantage sur le nom de domaine en question : cbridge-prod2.celer.network. Nous avons découvert que le navigateur n'a pas signalé d'erreur de certificat lors de l'attaque. Par conséquent, notre enquête a commencé par examiner la possibilité d’une attaque DNS. (Merci tout particulièrement à @greysign1 pour nous avoir aidés à vérifier rapidement la possibilité d'une attaque DNS)

Nous avons commencé par examiner les informations pertinentes du certificat :

Le certificat semble avoir été modifié de manière inattendue, le certificat original émis par Let's Encrypt ayant été remplacé par un certificat contrefait émis par GoGetSSL.

GoGetSSL peut émettre un certificat gratuit de 90 jours :

• Analyse du certificat 1 : https://crt.sh/?id=7356185959

  

  Une erreur de vérification CRL apparaît sur le certificat aux moments suivants :

  

• Analyse du certificat 2 : https://crt.sh/?id=7356185959

  

  Ce certificat présente également une erreur de vérification CRL aux moments suivants :

  

  Après avoir examiné l'adresse IP, le certificat, ainsi que d'autres informations associées au certificat 1, nous avons découvert que l'adresse IP liée par ce certificat était 44.235.216.69.

  

  

  

  L’adresse IP du certificat 2 n’a pas pu interroger l’adresse IP correspondant au certificat 2, ce qui pourrait être dû à la courte durée de l’attaque et à l’incapacité du moteur de recherche Internet à collecter les informations pertinentes.

  En conséquence, nous avons concentré notre analyse sur les données de résolution IP pour le domaine cbridge-prod2.celer.network :

  L'adresse IP, 44.235.216.69, a été associée à cbridge-prod2.celer.network pendant une période prolongée.

  

  Voici la question : le fait que cette adresse IP, 44.235.216.69, ait été associée à cbridge-prod2.celer.network pendant une période prolongée prouve qu'elle appartenait au serveur officiel du réseau Celer. Cela a également été confirmé auprès de l'équipe Celer Network. Alors pourquoi y a-t-il eu un certificat contrefait associé à cette adresse IP ?

  

  Nous avons donc commencé à enquêter sur l'AS du 44.235.216.69 et avons découvert que l'AS correspondant à cette IP était inhabituel.

  

  AS16509 annonce des bogons : :

  

  En parcourant les bogons, nous sommes en mesure de déterminer que c'est généralement le cas lorsqu'un attaquant usurpe une adresse IP pour mener une attaque : https://networkdirection.net/articles/routingandswitching/bgp-bogonsandmartians/ https://forum .networklessons.com/t/what-are-bogons/6333

  

  Étant donné que l'AS à 44.235.216.69 présentait des anomalies, nous avons d'abord soupçonné que le problème venait de BGP. Nous avons donc contacté le réseau Celer pour obtenir l'adresse IP de l'attaquant : 54.84.236.100. Nous avons découvert que AS14618, où se trouve l'adresse IP, présentait également une exception. (AS14618 annonce également des bogons)

  

  Par coïncidence, l'amont de AS14618 était AS16509 (AS16509 est également l'AS où se trouve 44.235.216.69). Cela nous a alerté de la possibilité d'une attaque BGP.

  Notre enquête a révélé que l'adresse IP : 54.84.236.100 a été signalée comme malveillante.

  

  Nous avons collecté des informations pertinentes sur l'adresse IP : 54.84.236.100 auprès de notre communauté et avons trouvé une mention selon laquelle cette adresse IP était liée à un autre incident d'attaque BGP survenu en 2014. Cependant, comme cet incident s'est produit il y a longtemps, il se peut qu'il ne soit plus le cas. pertinent.

  

  

  Nous avons ensuite poursuivi notre enquête en suivant les enregistrements laissés par cette attaque BGP :

  

  Le suivi de l'enregistrement BGP pour l'adresse IP de l'attaque : 54.84.236.100 a révélé que la route n'est plus disponible.

  

  Nous avons continué à suivre les traces du routeur BGP pour l’adresse IP de Celer : 44.235.216.69 et avons pu trouver le bon itinéraire.

  

  Nous avons ensuite vérifié le journal des modifications du nœud BGP : heure de Pékin : 18/08/2022 02h48 — 18/08/2022 7h48 UTC+8

  

  

  Le 18/08/2022, il a été constaté que la période comprise entre 2 h 48 et 7 h 48 BST comportait un grand nombre d'ajouts de nœuds et de suppressions d'enregistrements de modifications.

  Nous avons continué à surveiller le journal des modifications AS et avons découvert que AS14618 contenait auparavant les informations de routage 44.235.216.0/24, mais que le chemin a ensuite été modifié en Retiré, prouvant que :

  1. 44.235.216.0/24 dans AS14618 était le chemin optimal

  2. Désormais, 44.235.216.0/24 dans AS14618 n'est plus le chemin optimal ; il est retiré.

  (Lorsqu'une attaque BGP se produit, l'attaquant publiera un chemin optimal pour diriger le trafic vers son propre serveur)

  

  Afin d'obtenir des données plus précises, nous avons utilisé le bgplay suivant pour vérifier les changements dans les chemins liés au 44.235.216.69 au moment de l'attaque.

  

  Le 17/08/2022, nous pouvons constater que pendant la période comprise entre 19:19:23 +UTC et 23:19:23 +UTC, il y a eu une fluctuation significative dans les informations des chemins de routage BGP.

  Ce changement se reflète dans la direction du trafic de 44.235.216.0/24 vers AS14618, où le trafic de 44.235.216.0/24 sort via AS16509 après l'attaque.

  En conséquence, nous considérons que cet incident est probablement un événement d'attaque BGP, où AS14618 semble être un nœud sous le contrôle de l'attaquant (le routeur de l'AS14618 peut avoir des problèmes de sécurité et peut être exploité par des attaquants), avec l'attaque durée environ 4 heures.

  L’attaquant a pu lier le certificat 1 (certificat contrefait) à l’adresse IP de Celer Network : 44.235.216.69, car l’attaquant disposait d’un serveur malveillant avec la même adresse IP. Étant donné que gogetssl prend en charge http pour l'authentification, ils peuvent simplement saisir le texte fourni par gogetssl dans le serveur malveillant. Il est donc possible de lier le certificat 1 en dirigeant le trafic vers le serveur malveillant avec la même adresse IP via une attaque BGP. En conséquence, le navigateur a été alerté de l'erreur de certificat.

  Nous avons déterminé que AS14618 était contrôlé par l'attaquant pour les raisons suivantes.

  • L’attaquant a d’abord dirigé le trafic 44.235.216.69 vers AS14618, puis a redirigé le 44.235.216.69 vers AS16509 après l’attaque.

  • IP d'attaque : 54.84.236.100 se trouve également dans AS14618.

  • Après l'attaque, AS14618 a été retiré au 44.235.216.69.

  Pour répondre à cette question : Le fait que cette adresse IP, 44.235.216.69, ait été associée à cbridge-prod2.celer.network pendant une période prolongée, prouve qu'elle appartenait au serveur officiel du réseau Celer. Cela a également été confirmé auprès de l'équipe Celer Network. Alors pourquoi y a-t-il eu un certificat contrefait associé à cette adresse IP ?

  Si vous utilisez le protocole HTTPS pour communiquer, vous ne pouvez pas crypter/déchiffrer les données (y compris les données de communication client/serveur) sans obtenir la clé privée du certificat. Ainsi, pour s'assurer que le certificat est correct et pouvoir mener l'attaque de l'homme du milieu, l'attaquant doit relier le certificat appliqué dans l'autorité au serveur malveillant avec la même IP 44.235.216.69. Cela permet à l’attaquant de décrypter les données du client et d’insérer le code malveillant dans les données du paquet de réponse.

  Conclusion de l'analyse

  Nous avons enquêté sur cette attaque en collaboration avec l'équipe Celer Network. Malgré le fait qu'il s'agissait d'une tentative d'attaque BGP sophistiquée sur le réseau Celer, l'attaquant préparait tout, depuis le moment de l'attaque, la falsification de certificat, le contrôle AS et d'autres opérations.

  En fin de compte, nous reconnaissons que de nombreux projets sont déjà conscients des risques associés aux attaques BGP et ont pris les précautions appropriées. Cependant, beaucoup l’ignorent encore, notamment en ce qui concerne les modifications de chemin réseau induites par les changements d’AS. Sans mesures de préparation et de réponse adéquates, il existe un risque considérable de nouvelles attaques du même attaquant ou d’autres attaquants. Par conséquent, nous exhortons les organisations, les FAI et les fournisseurs d’hébergement de serveurs à reconnaître ces risques et à coordonner leurs stratégies défensives pour éviter que des incidents similaires ne se reproduisent. Et, comme toujours, si jamais vous avez besoin d'aide, veuillez contacter l'équipe de sécurité SlowMist.

  Pièce jointe

  Graphique DNS cbridge-prod2.celer.network :