Adevărul din spatele rețelei Celer Incidentul podului încrucișat cBridge: atac BGP

fundal

Oficialii Celer Network au declarat pe 18 august că între 3:45 și 6:00, ora Beijingului, anumiți utilizatori cBridge au fost direcționați către contracte inteligente rău intenționate. Inițial, interfața front-end cBridge a fost suspectată că a fost compromisă de atacul DNS.

Complet diferit de incidentele anterioare de hacking de poduri cross-chain, cum ar fi Nomad, Wormhole, Ronin, Harmony etc., acest atac nu a fost cauzat de erori în contractele inteligente și protocoalele cross-chain sau de intruziunea serverelor aferente și activele lanțului blocate în cBridge au fost, de asemenea, păstrate în siguranță. În acest atac, hackerii au vizat direct infrastructura de bază din arhitectura Internet din afara sistemului Celer și au permis utilizatorilor încrucișați să acceseze o interfață de utilizator front-end „phishing” într-o perioadă de timp, înșelând protocolul de rutare de bază al Internetului ( BGP). Rețeaua Celer a reușit să limiteze daunele datorită răspunsului lor prompt. Acest lucru se datorează faptului că echipa Celer Network are un sistem de monitorizare de 24 de ore. Echipa lor de servicii pentru clienți a reușit să identifice problema și să alerteze comunitatea în timp util. Echipa Celer Network a împuternicit echipa de securitate SlowMist să răspundă la această urgență și să efectueze o investigație aprofundată.

Procesul de analiză

Echipa Celer Network a suspectat inițial un atac DNS, iar după ce am comunicat cu ei, am putut afla mai multe despre numele de domeniu în cauză: cbridge-prod2.celer.network. Am descoperit că browserul nu a raportat o eroare de certificat în timpul atacului. Prin urmare, investigația noastră a început cu abordarea mai întâi a posibilității unui atac DNS. (Mulțumiri speciale lui @greysign1 pentru că ne-ați ajutat să verificăm rapid posibilitatea unui atac DNS)

Am început prin a revizui informațiile relevante ale certificatului:

Certificatul pare să fi fost modificat în mod neașteptat, în cazul în care certificatul original emis de Let’s Encrypt a fost înlocuit cu un certificat contrafăcut emis de GoGetSSL.

GoGetSSL poate emite un certificat gratuit de 90 de zile:

• Analiza certificatului 1: https://crt.sh/?id=7356185959

  

  O eroare de verificare CRL apare pe certificat în următorul moment:

  

• Analiza certificatului 2: https://crt.sh/?id=7356185959

  

  Acest certificat are, de asemenea, o eroare de verificare CRL în următoarele momente:

  

  După examinarea adresei IP, a certificatului, precum și a altor informații asociate cu Certificatul 1, am descoperit că adresa IP legată de acest certificat era 44.235.216.69.

  

  

  

  Adresa IP a Certificatului 2 nu a putut interoga adresa IP corespunzătoare Certificatului 2, ceea ce s-ar putea datora duratei scurte a atacului și a eșecului motorului de căutare pe Internet de a colecta informații relevante.

  Ca rezultat, ne-am concentrat analiza asupra datelor de rezoluție IP pentru domeniul cbridge-prod2.celer.network:

  Adresa IP, 44.235.216.69, a fost asociată cu cbridge-prod2.celer.network pentru o perioadă lungă de timp.

  

  Iată întrebarea: Faptul că această adresă IP, 44.235.216.69, a fost asociată cu cbridge-prod2.celer.network pentru o perioadă lungă de timp, demonstrează că a aparținut serverului oficial Celer Network. Acest lucru a fost confirmat și cu echipa Celer Network. Deci, de ce a existat un certificat contrafăcut asociat cu acest IP?

  

  Așa că am început să investigăm AS-ul 44.235.216.69 și am descoperit că AS-ul corespunzător acestui IP era neobișnuit.

  

  AS16509 anunță bogons:：

  

  Privind prin bogonuri, putem stabili că acesta este, în general, cazul în care un atacator falsifică o adresă IP pentru a efectua un atac: https://networkdirection.net/articles/routingandswitching/bgp-bogonsandmartians/ https://forum .networklessons.com/t/what-are-bogons/6333

  

  Deoarece AS de la 44.235.216.69 a prezentat anomalii, am bănuit mai întâi că problema era cu BGP, prin urmare am contactat rețeaua Celer pentru a obține adresa IP a atacatorului: 54.84.236.100. Am descoperit că AS14618, unde se află adresa IP, avea și o excepție. (AS14618 anunță și bogons)

  

  Întâmplător, în amonte de AS14618 a fost AS16509 (AS16509 este, de asemenea, AS unde se află 44.235.216.69). Acest lucru ne-a alertat asupra posibilității unui atac BGP.

  Investigația noastră a arătat că IP: 54.84.236.100 a fost semnalat ca rău intenționat.

  

  Am colectat informații relevante pe IP: 54.84.236.100 de la comunitatea noastră și am constatat că acea adresă IP este legată de un alt incident de atac BGP care a avut loc în 2014. Cu toate acestea, deoarece acest incident a avut loc cu mult timp în urmă, este posibil să nu mai fie relevante.

  

  

  Apoi am continuat investigația urmărind înregistrările lăsate în urmă de acest atac BGP:

  

  Urmărirea înregistrării BGP pentru IP-ul atacului: 54.84.236.100 a arătat că ruta nu mai este disponibilă.

  

  Am continuat să urmărim urmele routerului BGP pentru IP-ul lui Celer: 44.235.216.69 și am reușit să găsim ruta corectă.

  

  Am verificat apoi jurnalul de modificare a nodului BGP: ora Beijing: 18.08.2022 2:48 - 18.08.2022 7:48 UTC+8

  

  

  În data de 18.08.2022, s-a constatat că perioada de timp cuprinsă între 2:48 AM și 7:48 AM BST a avut un număr mare de adăugări de noduri și ștergeri ale înregistrărilor de modificări.

  Am continuat să monitorizăm jurnalul de modificări AS și am descoperit că AS14618 avea anterior informațiile de rutare 44.235.216.0/24, dar calea a fost apoi modificată la Retras, demonstrând că:

  1. 44.235.216.0/24 în AS14618 era calea optimă

  2. Acum 44.235.216.0/24 în AS14618 nu mai este calea optimă; este Retras.

  (Când are loc atacul BGP, atacatorul va publica o cale optimă pentru a direcționa traficul către propriul său server)

  

  Pentru a obține date mai precise, am folosit următorul bgplay pentru a verifica modificările în căile legate de 44.235.216.69 în timpul atacului.

  

  Pe 17.08.2022, putem observa că în perioada cuprinsă între 19:19:23 +UTC și 23:19:23 +UTC, a existat o fluctuație semnificativă a informațiilor căilor de rutare BGP.

  Această modificare se reflectă în direcționarea traficului de la 44.235.216.0/24 la AS14618, unde traficul de la 44.235.216.0/24 se stinge prin AS16509 după atac.

  Drept urmare, considerăm că acest incident este probabil un eveniment de atac BGP, în care AS14618 pare a fi un nod aflat sub controlul atacatorului (routerul AS14618 poate avea probleme de securitate și poate fi exploatat de atacatori), odată cu atacul. cu durata de aproximativ 4 ore.

  Atacatorul a reușit să lege Certificatul 1 (certificat contrafăcut) la IP-ul Celer Network: 44.235.216.69, deoarece atacatorul avea un server rău intenționat cu aceeași IP. Deoarece gogetssl acceptă http pentru autentificare, pot introduce doar text furnizat de gogetssl pe serverul rău intenționat. Prin urmare, făcând posibilă legarea Certificatului 1 prin direcționarea traficului către serverul rău intenționat cu același IP prin atac BGP. Drept urmare, browserul a fost alertat cu privire la eroarea certificatului.

  Am stabilit că AS14618 a fost controlat de către atacator din următoarele motive.

  • Atacatorul a direcționat mai întâi traficul 44.235.216.69 către AS14618 și a direcționat 44.235.216.69 înapoi către AS16509 după atac.

  • IP de atac: 54.84.236.100 este, de asemenea, în AS14618.

  • După atac, AS14618 a fost retras la 44.235.216.69.

  Pentru a răspunde la această întrebare: Faptul că această adresă IP, 44.235.216.69, a fost asociată cu cbridge-prod2.celer.network pentru o perioadă lungă de timp, demonstrează că a aparținut serverului oficial Celer Network. Acest lucru a fost confirmat și cu echipa Celer Network. Deci, de ce a existat un certificat contrafăcut asociat cu acest IP?

  Dacă utilizați protocolul HTTPS pentru a comunica, nu puteți cripta/decripta datele (inclusiv datele de comunicare client/server) fără a obține cheia privată a certificatului. Așadar, pentru a se asigura că certificatul este corect și poate efectua atacul de tip man-in-the-middle, atacatorul trebuie să relegați certificatul aplicat în autoritate la serverul rău intenționat cu același IP 44.235.216.69. Acest lucru îi permite atacatorului să decripteze datele clientului și să introducă codul rău intenționat în datele pachetului de răspuns.

  Concluzia analizei

  Am investigat acest atac în colaborare cu echipa Celer Network. În ciuda faptului că aceasta a fost o încercare sofisticată de atac BGP asupra rețelei Celer, atacatorul pregătind totul, de la momentul atacului, falsificarea certificatelor, controlul AS și alte operațiuni.

  În cele din urmă, recunoaștem că multe proiecte sunt deja conștiente de riscurile asociate cu atacurile BGP și au luat măsurile de precauție adecvate. Cu toate acestea, mulți încă nu sunt conștienți, în special când vine vorba de modificările căilor de rețea induse de modificările AS. Fără măsuri adecvate de pregătire și răspuns, există un risc considerabil de atacuri suplimentare din partea aceluiași atacator sau al altor atacatori. Prin urmare, îndemnăm organizațiile, ISP-urile și furnizorii de găzduire de servere să recunoască astfel de riscuri și să se coordoneze cu privire la strategii defensive pentru a preveni incidentele similare să apară din nou. Și, ca întotdeauna, dacă aveți nevoie vreodată de asistență, vă rugăm să contactați Echipa de securitate SlowMist.

  Atașament

  Diagrama DNS cbridge-prod2.celer.network: