Aruande kuupäev: 2023-12-20
Juhtumi kuupäev: 2023-12-14
Avastatud intsidendi tüüp: Volitamata juurdepääs ja pahatahtlik kood
Kokkuvõte
Ledger tuvastas neljapäeval, 14. detsembril 2023 Ledger Connect Kit kasutades ärakasutamise. See ärakasutamine süstis Ledger Connect Kit kasutanud DApp-idesse pahatahtlikku koodi, meelitades EVM DApp-i kasutajaid allkirjastama tehinguid, mis tühjendavad nende rahakotti. Ärakasutamist märgati kiiresti ja mõne aja pärast rakendati resolutsioon. Vahepeal langes väike hulk kasutajaid rünnaku alla ja allkirjastasid tehingud, mis tühjendasid nende rahakotti.
Timeline
Ajaskaala tunnid on üksikasjalikult esitatud ajavööndi Kesk-Euroopa aja järgi (CET):
2023-12-14: Hommik: Endine pearaamatutöötaja langes keeruka andmepüügi rünnaku ohvriks, mis pääses isiku seansimärki kasutades juurdepääsu nende NPMJS-i kontole, minnes 2FA-st mööda.
2023 – 12:14 / 09:49 / 10:44: Ründaja avaldas NPMJS-is (rakenduste vahel jagatud Javascripti koodi paketihaldur) Ledger Connect Kit pahatahtliku versiooni (mõjutab versioone 1.1.5, 1.1.6 ja 1.1.7). Pahatahtlik kood kasutas võltsitud WalletConnecti projekti, et suunata varad ümber häkkerite rahakottidesse.
2023: 12: Ledger sai käimasolevast rünnakust teadlikuks tänu erinevate ökosüsteemi osaliste, sealhulgas Blockaid, kes võttis ühendust Ledgeri meeskonnaga ja jagas X kohta värskendusi, kiirele reageerimisele.
2023: 12: Ledgeri tehnoloogia- ja turvameeskondi hoiatati rünnakust ning Ledgeri meeskonnad võtsid 40 minuti jooksul pärast Ledgeri teadasaamist kasutusele Ledger Connect Kit paranduse ehtsa versiooni. CDN-i (Content Delivery Network) ja Interneti vahemällu salvestamise mehhanismide olemuse tõttu jäi pahatahtlik fail veidi kauemaks ligipääsetavaks. NPMJS-i kompromiteerimisest täieliku lahenduseni on möödunud ligikaudu 5 tundi. Pahatahtliku koodi laiendatud kättesaadavus tulenes ajast, mis kulus CDN-il oma vahemälu ülemaailmseks levitamiseks ja värskendamiseks faili uusima ehtsa versiooniga. Vaatamata faili viietunnisele kohalolekule piirdus meie uurimise põhjal aken, mille jooksul kasutaja varasid aktiivselt tühjendati, kokku vähem kui kahe tunniga.
Ledger kooskõlastas kiiresti meie partneri WalletConnectiga, kes keelas petturliku WalletConnecti eksemplari, mida kasutati varade kasutajatelt tühjendamiseks.
2023: 12 Meie kooskõlastamisel külmutas Tether ründaja(te) USDT (vt. TX).
Algpõhjuste analüüs, leiud ja ennetusmeetmed
kontekst
pearaamat Ühenduskomplekt on Java Scripti avatud lähtekoodiga teek, mis võimaldab arendajatel ühendada oma DApp-id Ledgeri riistvaraga. Seda saab integreerida kasutades Connect-Kit-loader komponent, mis võimaldab DA-rakendusel Connect-Kiti käivitamise ajal CDN-ist laadida. See võimaldab DApp-i arendajatel alati kasutada rakenduse uusimat versiooni Ühenduskomplekt ilma vajaduseta paketiversioone käsitsi värskendada ja uusi versioone välja anda. Ledgeri poolt levitamiseks kasutatav CDN on NPMJS. Enamik DAppisid on integreerinud Ühenduskomplekt kasutades mainitud Connect-Kit-loaderit.
Ledger Connect Kit'i ärakasutamise korral ei olnud ründajal kunagi juurdepääsu Ledgeri infrastruktuurile, Ledgeri koodihoidlale ega DApp-idele endile. Ründaja suutis Connect-Kiti enda asemele suruda CDN-is pahatahtliku koodipaketi. Selle pahatahtliku Connect-Kiti koodi laadisid seejärel dünaamiliselt DApps, kes juba integreerivad Connect-Kit-laaduri.
Ledger Connect Kit'i ärakasutamine toob esile riskid, millega Ledger ja tööstus ühiselt kasutajate kaitsmisel silmitsi seisavad, ning see on ka meeldetuletus, et ühiselt peame jätkuvalt tõstma DAppide turvalisuse latti, kus kasutajad osalevad brauseripõhises allkirjastamises. Seekord kasutati Ledgeri teenust, kuid tulevikus võib see juhtuda mõne muu teenuse või raamatukoguga.
Peamine põhjus
Pahatahtliku koodipaketi NPMJS-i edastamiseks andis ründaja endisele töötajale andmepüügi, et kasutada isiku juurdepääsu NPMJS-ile. Endise töötaja juurdepääs Ledgeri süsteemidele (sh Github, SSO-põhised teenused, kõik sisemised Ledgeri tööriistad ja välised tööriistad) tühistati nõuetekohaselt, kuid kahjuks ei tühistatud endiste töötajate juurdepääsu NPMJS-ile.
Võime kinnitada, et see oli kahetsusväärne üksikjuhtum. Ledgeri töötajate juurdepääs Ledgeri taristule tühistatakse automaatselt töötajate lahkumise ajal, kuid praeguste tehnoloogiateenuste ja tööriistade globaalse toimimise tõttu ei saa me automaatselt tühistada juurdepääsu teatud välistele tööriistadele (kaasa arvatud NPMJS) ja neid tuleb käsitsi käsitleda iga üksiku töötaja pardast lahkumise kontrollnimekiri. Ledgeril on olemasolev ja regulaarselt uuendatav offboarding’i protseduur, mille kohaselt eemaldame lahkuvad töötajad kõigist välistest tööriistadest. Sellel üksikjuhul ei tühistatud NPMJS-i juurdepääsu käsitsi, millest me kahetseme ja auditime koos välise kolmanda osapoole partneriga.
See oli ründaja korraldatud keerukas rünnak. Vaatamata sellele, et NPMJS-i sihtkontol jõustati kahefaktoriline autentimine (2FA), mis tavaliselt takistaks paljusid katseid, hoidis ründaja sellest turvameetmest mööda, kasutades ära endise töötaja kontoga seotud API-võtit.
See konkreetne rünnak võimaldas ründajal üles laadida Ledger Connect Kit uue pahatahtliku versiooni, mis sisaldas nn Angel Draineri pahavara. Angel Drainer on pahavara kui teenus, mis on spetsiaalselt loodud pahatahtlike tehingute tegemiseks, mis allkirjastamisel tühjendavad rahakotti. See on terviklik infrastruktuur, mis on spetsialiseerunud EVM-i kettidele, mis kasutab nõudmisel nutikaid lepinguid ja koostab kohandatud tehinguid, et maksimeerida kahju.
Kahjuks NPMJS.com ei võimalda automaatset mitme volituse või allkirja kontrollimist kirjastamine. Töötame selle kallal, et lisada ad hoc mehhanisme, mis jõustavad täiendavaid kontrolle juurutamisetapis.
Järeldused
See oli hästi ettevalmistatud rünnak, mille sooritasid kogenud ründaja(d). Rakendatud andmepüügitehnika ei keskendunud mandaatidele, mida näeme enamiku ökosüsteemi mõjutavate Front-Endi rünnakute puhul, vaid ründaja töötas selle asemel otse seansimärgi kallal.
Kasutatud pahavara oli Angel Drainer ja Ledgeri turvameeskond on viimase kolme kuu jooksul näinud seda pahavara kasutavate kuritegelike tegevuste sagenemist (vaadake seda avaldatud Blokaadi aruanne). Samuti näeme ahelas, et varastatud raha jagatakse: 85% ärakasutajale ja 15% Angel Drainerile, mida võib vaadelda kui pahavara kui teenust.
See Angel Drainer meelitab kasutajaid allkirjastama erinevat tüüpi tehinguid, olenevalt vara tüübist, mida see praegu sihib. ERC20 ja NFT žetoonide puhul palub see kasutajatel allkirjastada heakskiit ja võimaldama sõnumid. Natiivsete žetoonide puhul palub tühjendaja kasutajal allkirjastada võltsitud nõudetehing, kus nõudma meetod lihtsalt pühib raha või lihtsaid märgiülekandeid, mida saab hiljem pühkida, juurutades vastaval aadressil nutika lepingu.
Seetõttu julgustame jätkuvalt selget allkirjastamist kui tööstust, et kasutajad saaksid oma Ledgeri riistvaraseadme usaldusväärsel kuval kontrollida, mida nad näevad.
Parandusmeetmed
Ledgeri turva- ja tehnoloogiameeskonnad, sealhulgas Ledgeri tegevmeeskond, vaatavad praegu üle ja auditeerivad kõiki meie kasutatavate Ledgeri sisemiste ja väliste tööriistade ja süsteemide juurdepääsu kontrolle.
Ledger tugevdab oma eeskirju, mis puudutavad koodi ülevaatamist, juurutamist, levitamist ja juurdepääsu kontrollimist, sealhulgas lisab kõik välised tööriistad meie hooldus- ja kontrollimistele. Kui see on asjakohane, jätkame koodi allkirjastamise üldistamist. Lisaks viime läbi korduvaid siseauditeid, et veenduda selle nõuetekohases rakendamises.
Ledger korraldab juba turvakoolitusi, sealhulgas andmepüügikoolitust. Samuti tugevdatakse 2024. aasta algusest siseturvalisuse koolitusprogrammi kõigi vastavate osakondade töötajate jaoks. Ledger korraldab juba regulaarseid kolmandate osapoolte turvalisuse hindamisi ja jätkab nende hindamiste tähtsustamist.
2024. aasta alguses viiakse läbi spetsiaalne kolmanda osapoole audit, mis keskendub juurdepääsukontrollile, koodide reklaamimisele ja levitamisele.
Lisaks tugevdame oma infrastruktuuri seire- ja hoiatussüsteeme, et oleks võimalik tulevasi intsidente veelgi kiiremini tuvastada ja neile reageerida.
Lõpuks vähendame pimeallkirjastamise vältimist, eemaldades selle pearaamatu kasutajatele võimalusena, et tagada äärmuslikud turvatavad, ja teavitada kasutajaid tehingute allkirjastamise võimalikust mõjust ilma turvalise kuvata või ilma, et nad mõistaksid, mida nad allkirjastavad, kui nad seda ei kasuta. Tühjenda allkirjastamine.
Täname veel kord oma ökosüsteemi partnereid kiire koostöö eest Ledgeri meeskondadega ärakasutamise tuvastamisel ja lahendamisel.
- SEO-põhise sisu ja PR-levi. Võimenduge juba täna.
- PlatoData.Network Vertikaalne generatiivne Ai. Jõustage ennast. Juurdepääs siia.
- PlatoAiStream. Web3 luure. Täiustatud teadmised. Juurdepääs siia.
- PlatoESG. Süsinik, CleanTech, Energia, Keskkond päikeseenergia, Jäätmekäitluse. Juurdepääs siia.
- PlatoTervis. Biotehnoloogia ja kliiniliste uuringute luureandmed. Juurdepääs siia.
- Allikas: https://www.ledger.com/blog/security-incident-report
- :on
- :on
- :mitte
- : kus
- 09
- 1
- 10
- 11
- 14.
- 15%
- 2023
- 2024
- 26%
- 2FA
- 40
- 51
- 7
- a
- Võimalik
- juurdepääs
- juurdepääsetav
- konto
- aktiivselt
- tegevus
- osalejad
- Ad
- lisades
- lisamine
- Lisaks
- aadress
- mõjutades
- pärast
- jälle
- Materjal: BPA ja flataatide vaba plastik
- võimaldama
- Lubades
- võimaldab
- juba
- Ka
- alati
- an
- analüüs
- ja
- ingel
- Teine
- mistahes
- API
- umbes
- apps
- OLEME
- ümber
- AS
- hinnangud
- eelis
- vara
- seotud
- At
- rünnak
- Reageerib
- Katsed
- audit
- auditeerimine
- auditid
- Autentimine
- automaatselt
- kättesaadavus
- teadlik
- baar
- põhineb
- BE
- saada
- on
- vahel
- lühidalt
- Ehitab
- kuid
- by
- CAN
- ei saa
- juhul
- Põhjus
- kesk-
- kindel
- ketid
- Kontroll
- selge
- kood
- Koodi ülevaade
- kollektiivselt
- tuleb
- täitma
- komponent
- läbi
- Juhtimine
- Kinnitama
- Võta meiega ühendust
- sisaldub
- sisu
- jätkama
- leping
- lepingud
- kontrollida
- kontrolli
- koordineeritud
- kooskõlastamine
- Vastav
- võiks
- käsitöö
- volikiri
- Criminal
- Praegune
- Praegu
- kahju
- dapp
- DApp-i arendajad
- DApps
- Detsember
- tarne
- Nõudlus
- osakonnad
- Olenevalt
- lähetatud
- juurutamine
- kasutuselevõtu
- juurutab
- kavandatud
- Vaatamata
- üksikasjalik
- avastama
- tuvastatud
- Arendajad
- seade
- DID
- erinev
- otse
- blokeeritud
- Ekraan
- jaotus
- ei
- kahekordistada
- alla
- äravool
- tühjendatud
- kaks
- ajal
- dünaamiliselt
- iga
- Varajane
- ökosüsteemi
- harima
- kumbki
- Töötaja
- töötajad
- lubatud
- julgustama
- jõustamisel
- tegelema
- tagama
- ERC20
- hinnata
- Euroopa
- Isegi
- EVM
- täidetud
- täidesaatev
- olemasolevate
- kogenud
- Ekspluateeri
- Exploited
- ära kasutades
- pikendatud
- väline
- nägu
- võlts
- kiiremini
- fail
- järeldused
- viis
- Määrama
- Keskenduma
- keskendunud
- eest
- endine
- Alates
- raha
- varastatud rahalised vahendid
- edasi
- tulevik
- saadud
- ehtne
- GitHub
- Ülemaailmselt
- juhtuda
- riistvara
- riistvaraseade
- Olema
- võttes
- rõhutab
- tund
- Lahtiolekuajad
- Kuidas
- aga
- http
- HTTPS
- identifitseerimiseks
- mõju
- rakendatud
- in
- juhtum
- lisatud
- Kaasa arvatud
- Suurendama
- eraldi
- tööstus
- Infrastruktuur
- sees
- Näiteks
- selle asemel
- integreerima
- integreeritud
- sisemine
- Internet
- sisse
- uurimine
- isoleeritud
- IT
- ITS
- ise
- Java
- JavaScript
- Võti
- pärast
- hiljemalt
- pearaamat
- vähem
- Finantsvõimendus
- Raamatukogu
- vähe
- koormus
- enam
- Madal
- tehtud
- hooldus
- tegema
- malware
- juht
- käsitsi
- palju
- max laiuse
- Maksimeerima
- vahepeal
- mõõtma
- mehhanismid
- mainitud
- kirjad
- protokoll
- järelevalve
- kuu
- Hommik
- kõige
- peab
- emakeelena
- loodus
- Vajadus
- võrk
- Uus
- NFT
- nft märgid
- Tavaliselt
- of
- on
- Ahelas
- jätkuv
- avatud
- avatud lähtekoodiga
- töötama
- valik
- or
- et
- korraldab
- meie
- välja
- pakend
- partner
- partnerid
- partei
- Vastu võetud
- minevik
- Phishing
- õngevõtmiskatset
- Koht
- Platon
- Platoni andmete intelligentsus
- PlatoData
- palun
- pm
- Poliitika
- potentsiaal
- tavad
- valmis
- olemasolu
- ennetada
- Prioriteet
- menetlus
- Programm
- projekt
- edendamine
- korralikult
- kaitsma
- avaldatud
- Lükkama
- kiiresti
- tõstma
- jõudis
- Reageerima
- reaktsioon
- hiljuti
- viitama
- nimetatud
- kahetsema
- regulaarne
- regulaarselt
- tugevdama
- vabastama
- asjakohane
- jäi
- meeldetuletus
- kõrvaldama
- eemaldades
- aru
- Hoidla
- Taotlusi
- resolutsioon
- lahendamine
- need
- kaasa
- läbi
- läbivaatamine
- riskide
- runtime
- s
- käsikiri
- kindlustama
- turvalisus
- vaata
- nähtud
- teenus
- Teenused
- istung
- istungid
- jagatud
- kirjutama
- allkiri
- allkirjastatud
- allkirjastamine
- lihtne
- lihtsalt
- nutikas
- arukas leping
- Tarkvaralepingud
- So
- keeruline
- allikas
- spetsialiseeritud
- konkreetse
- eriti
- jagada
- Stage
- algus
- varastatud
- kindel
- kiiresti
- süsteemid
- kohandatud
- võtnud
- suunatud
- sihtimine
- meeskond
- meeskonnad
- tehnika
- Tehnoloogia
- Tether
- kui
- tänama
- tänan
- et
- .
- Tulevik
- oma
- ennast
- SIIS
- Need
- nad
- Kolmas
- see
- kolm
- neljapäeval
- aeg
- et
- sümboolne
- märgid
- töövahendid
- Summa
- koolitus
- tehing
- Tehingud
- ülekandeid
- Usaldatud
- kaks
- tüüp
- liigid
- mõistmine
- kahetsusväärne
- kahjuks
- Värskendused
- Uudised
- USDT
- kasutama
- Kasutatud
- Kasutaja
- Kasutajad
- kasutamine
- suurim
- Kontrollimine
- kontrollima
- versioon
- versioonid
- Ohver
- maht
- rahakott
- Rahakotid
- oli
- we
- Hästi
- olid
- M
- Mis on
- millal
- mis
- WHO
- miks
- will
- aken
- koos
- jooksul
- ilma
- töötas
- töö
- oleks
- X
- sephyrnet