Latar belakang
Pejabat Celer Network menyatakan pada 18 Agustus bahwa antara pukul 3:45 dan 6:00 waktu Beijing, pengguna cBridge tertentu diarahkan ke kontrak pintar yang berbahaya. Awalnya, antarmuka front-end cBridge diduga disusupi oleh serangan DNS.
Sangat berbeda dari insiden peretasan jembatan lintas rantai sebelumnya seperti Nomad, Wormhole, Ronin, Harmony, dll., serangan ini tidak disebabkan oleh bug dalam kontrak pintar dan protokol lintas rantai atau intrusi server terkait, dan lintas- aset rantai yang terkunci di cBridge juga tetap aman. Dalam serangan ini, peretas secara langsung menargetkan infrastruktur yang mendasari arsitektur Internet di luar sistem Celer, dan mengizinkan pengguna lintas rantai untuk mengakses antarmuka pengguna front-end “phishing” dalam jangka waktu tertentu dengan menipu protokol perutean yang mendasari Internet ( BGP).Jaringan Celer mampu membatasi kerusakan karena responsnya yang cepat.Hal ini karena tim Jaringan Celer memiliki sistem pemantauan 24 jam. Tim layanan pelanggan mereka mampu mengidentifikasi masalah dan memperingatkan komunitas secara tepat waktu. Tim Celer Network memberdayakan tim keamanan SlowMist untuk merespons keadaan darurat ini dan melakukan penyelidikan mendalam.
Proses Analisis
Tim Celer Network awalnya mencurigai adanya serangan DNS, dan setelah berkomunikasi dengan mereka, kami dapat mempelajari lebih lanjut tentang nama domain yang dimaksud: cbridge-prod2.celer.network. Kami menemukan bahwa browser tidak melaporkan kesalahan sertifikat selama serangan tersebut. Oleh karena itu, penyelidikan kami dimulai dengan mengatasi kemungkinan serangan DNS terlebih dahulu. (Terima kasih khusus kepada @ greysign1 yang telah membantu kami memeriksa dengan cepat kemungkinan serangan DNS)
Kami mulai dengan meninjau informasi sertifikat yang relevan:
Sertifikat tersebut tampaknya telah diubah secara tidak terduga, dimana sertifikat asli yang dikeluarkan oleh Let’s Encrypt diganti dengan sertifikat palsu yang dikeluarkan oleh GoGetSSL.
GoGetSSL dapat menerbitkan sertifikat 90 hari gratis:
Analisis Sertifikat 1: https://crt.sh/?id=7356185959
Kesalahan Pemeriksaan CRL muncul pada sertifikat pada waktu berikut:
Analisis Sertifikat 2: https://crt.sh/?id=7356185959
Sertifikat ini juga mengalami kesalahan Pemeriksaan CRL pada waktu berikut:
Setelah memeriksa alamat IP, sertifikat, serta informasi lain yang terkait dengan Sertifikat 1, kami menemukan bahwa alamat IP yang diikat oleh sertifikat ini adalah 44.235.216.69.
Alamat IP Sertifikat 2 tidak dapat menanyakan alamat IP yang sesuai dengan Sertifikat 2, hal ini mungkin disebabkan oleh singkatnya durasi serangan dan kegagalan mesin pencari Internet dalam mengumpulkan informasi yang relevan.
Hasilnya, kami memfokuskan analisis kami pada data resolusi IP untuk domain cbridge-prod2.celer.network:
Alamat IP, 44.235.216.69, dikaitkan dengan cbridge-prod2.celer.network untuk jangka waktu yang lama.
Inilah pertanyaannya: Fakta bahwa alamat IP ini, 44.235.216.69, dikaitkan dengan cbridge-prod2.celer.network untuk jangka waktu yang lama, membuktikan bahwa alamat tersebut milik server resmi Jaringan Celer. Hal ini juga dikonfirmasi dengan tim Celer Network. Lalu mengapa ada sertifikat palsu yang dikaitkan dengan IP ini?
Jadi kami mulai menyelidiki AS 44.235.216.69 dan menemukan bahwa AS yang terkait dengan IP ini tidak biasa.
AS16509 mengumumkan bogon::
Melihat melalui bogons, kami dapat menentukan bahwa hal ini umumnya terjadi ketika penyerang memalsukan alamat IP untuk melakukan serangan: https://networkdirection.net/articles/routingandswitching/bgp-bogonsandmartians/ https://forum .networklessons.com/t/what-are-bogons/6333
Karena AS di 44.235.216.69 menunjukkan anomali, pertama-tama kami curiga bahwa masalahnya ada pada BGP, oleh karena itu kami menghubungi Jaringan Celer untuk mendapatkan alamat IP penyerang: 54.84.236.100. Kami menemukan bahwa AS14618, tempat alamat IP berada, juga memiliki pengecualian. (AS14618 juga mengumumkan bogon)
Secara kebetulan, upstream AS14618 adalah AS16509 (AS16509 juga merupakan AS tempat 44.235.216.69 berada). Hal ini mengingatkan kami akan kemungkinan serangan BGP.
Investigasi kami mengungkapkan bahwa IP: 54.84.236.100 ditandai sebagai berbahaya.
Kami mengumpulkan informasi yang relevan tentang IP: 54.84.236.100 dari komunitas kami dan menemukan penyebutan alamat IP tersebut terkait dengan insiden serangan BGP lainnya yang terjadi pada tahun 2014. Namun, karena insiden ini terjadi sudah lama sekali, maka insiden tersebut mungkin tidak lagi terjadi. relevan.
Kami kemudian melanjutkan penyelidikan kami dengan mengikuti catatan yang ditinggalkan oleh serangan BGP ini:
Melacak catatan BGP untuk serangan IP: 54.84.236.100 mengungkapkan bahwa rute tersebut tidak lagi tersedia.
Kami terus melacak jejak router BGP untuk IP celer: 44.235.216.69 dan dapat menemukan rute yang benar.
Kami kemudian memeriksa log perubahan node BGP: Waktu Beijing: 18/8/2022 02:48 — 18/08/2022 07:48 UTC+8
Pada 18/8/2022, periode waktu antara 02:48 — 07:48 BST ditemukan terdapat penambahan node dan penghapusan catatan perubahan dalam jumlah besar.
Kami terus memantau log perubahan AS dan menemukan bahwa AS14618 sebelumnya memiliki informasi perutean 44.235.216.0/24, namun jalurnya kemudian diubah menjadi Ditarik, membuktikan bahwa:
44.235.216.0/24 di AS14618 dulunya merupakan jalur optimal
Sekarang 44.235.216.0/24 di AS14618 bukan lagi jalur optimal; itu ditarik.
(Ketika serangan BGP terjadi, penyerang akan mempublikasikan jalur optimal untuk mengarahkan lalu lintas ke servernya sendiri)
Untuk mendapatkan data yang lebih akurat, kami menggunakan bgplay berikut untuk memeriksa perubahan jalur yang terkait dengan 44.235.216.69 sekitar waktu serangan.
Pada 17/8/2022, kita dapat melihat bahwa selama periode waktu antara 19:19:23 +UTC dan 23:19:23 +UTC, terdapat fluktuasi yang signifikan dalam informasi jalur perutean BGP.
Perubahan ini tercermin dalam mengarahkan lalu lintas dari 44.235.216.0/24 ke AS14618, dimana lalu lintas dari 44.235.216.0/24 keluar melalui AS16509 setelah serangan tersebut.
Oleh karena itu, kami mempertimbangkan bahwa insiden ini kemungkinan merupakan peristiwa serangan BGP, di mana AS14618 tampaknya merupakan node di bawah kendali penyerang (Router AS14618 mungkin memiliki masalah keamanan dan dapat dieksploitasi oleh penyerang), dengan serangan tersebut berlangsung kurang lebih 4 jam.
Penyerang dapat mengikat Sertifikat 1 (sertifikat palsu) ke IP Jaringan Celer: 44.235.216.69 karena penyerang memiliki server jahat dengan IP yang sama. Karena gogetssl mendukung http untuk otentikasi, mereka cukup memasukkan teks yang disediakan oleh gogetssl ke server jahat. Oleh karena itu, memungkinkan untuk mengikat Sertifikat 1 dengan mengarahkan lalu lintas ke server jahat dengan IP yang sama melalui serangan BGP. Akibatnya, browser diberitahu tentang kesalahan sertifikat.
Kami menentukan bahwa AS14618 dikendalikan oleh penyerang karena alasan berikut.
Penyerang pertama-tama mengarahkan lalu lintas 44.235.216.69 ke AS14618, dan mengarahkan 44.235.216.69 kembali ke AS16509 setelah serangan tersebut.
IP Serangan: 54.84.236.100 juga ada di dalam AS14618.
Setelah serangan itu, AS14618 Ditarik ke 44.235.216.69.
Untuk menjawab pertanyaan ini: Fakta bahwa alamat IP ini, 44.235.216.69, dikaitkan dengan cbridge-prod2.celer.network untuk jangka waktu yang lama, membuktikan bahwa alamat tersebut milik server resmi Jaringan Celer. Hal ini juga dikonfirmasi dengan tim Celer Network. Lalu mengapa ada sertifikat palsu yang dikaitkan dengan IP ini?
Jika Anda menggunakan protokol HTTPS untuk berkomunikasi, Anda tidak dapat mengenkripsi/mendekripsi data (termasuk data komunikasi klien/server) tanpa mendapatkan kunci pribadi sertifikat. Jadi untuk memastikan sertifikat tersebut benar dan dapat melakukan serangan man-in-the-middle, penyerang perlu mengikat ulang sertifikat yang diterapkan pada otoritasnya ke server jahat dengan IP yang sama 44.235.216.69. Hal ini memungkinkan penyerang mendekripsi data klien dan memasukkan kode berbahaya ke dalam data paket respons.
Kesimpulan Analisis
Kami menyelidiki serangan ini bekerja sama dengan tim Celer Network. Terlepas dari kenyataan bahwa ini adalah upaya serangan BGP yang canggih di Jaringan Celer, penyerang mempersiapkan segalanya mulai dari waktu serangan, pemalsuan sertifikat, kontrol AS, dan operasi lainnya.
Pada akhirnya, kami menyadari bahwa banyak proyek telah menyadari risiko yang terkait dengan serangan serangan BGP dan telah mengambil tindakan pencegahan yang tepat. Namun, banyak yang masih belum menyadarinya, terutama terkait modifikasi jalur jaringan yang disebabkan oleh perubahan AS. Tanpa persiapan dan tindakan respons yang memadai, terdapat risiko besar terjadinya serangan lebih lanjut oleh penyerang yang sama atau penyerang lainnya. Oleh karena itu, kami mendesak agar organisasi, ISP, dan penyedia hosting server menyadari risiko tersebut dan berkoordinasi dalam strategi pertahanan untuk mencegah kejadian serupa terulang kembali. Dan, seperti biasa, jika Anda memerlukan bantuan, silakan hubungi Tim Keamanan SlowMist.
Lampiran
Bagan DNS cbridge-prod2.celer.network:
