Kompromitacija administratorskog naloga dovela je do skoro četvorosatnog prekida rada drugog najvećeg španskog telekom operatera, Orange Espagne, koji je opsluživao 11 miliona pretplatnika. Za pristup interfejsu RIPE NCC registratora u Orange Espagneu, korišćena je predvidljiva lozinka "ripeadmin" i nije omogućena dvofaktorska autentifikacija.
RIPE lozinka je presretnuta kada je sistem zaposlenog bio zaražen malverom i od septembra se nalazi u kompromitovanim bazama lozinki koje se prodaju na crnom tržištu. Važno je napomenuti da pored Orange Espagne naloga, ove baze podataka sadrže hiljade drugih naloga za povezivanje na access.ripe.net, koji bi potencijalno mogli da se koriste za izvođenje sličnih napada.
Incident je ostao neotkriven sve do 2. januara, kada je vandal ušao u web interfejs RIPE NCC i izvršio promjene u BGP i RPKI (Resource Public Key Infrastructure) postavkama, nakon čega je usmjeravanje otprilike polovine prometa operatera bilo poremećeno skoro četiri sata. komunikacije. Postupci napadača doveli su do toga da je RPKI tehnologija, dizajnirana da zaštiti BGP objave od krivotvorenja, korištena za blokiranje legitimnih objava.
Napadač je kreirao nekoliko novih RPKI ROA (Route Origin Authorization) zapisa, među kojima su bili i zapisi koji povezuju velike blokove Orange Espagne adresa sa tuđim autonomnim sistemom, što je dovelo do toga da su ispravne BGP objave iz autonomnog sistema ovog operatera počele biti blokiran na ruterima mnogih okosnih operatera. Kao rezultat toga, broj BGP ruta povezanih s Orange Espagneom smanjen je sa 9200 na 7400, a promet je pao skoro za polovicu.
RPKI (Resource Public Key Infrastructure) se koristi za autorizaciju BGP najava i omogućava vam da odredite da li BGP najava dolazi od vlasnika mreže ili ne. Kada se koristi RPKI za autonomne sisteme i IP adrese, gradi se lanac povjerenja od IANA-e do regionalnih registratora (RIR), a zatim do pružatelja usluga (LIR) i krajnjih korisnika, što omogućava trećim stranama da provjere da li je rad resursa bio izvršio njen vlasnik. Bez autorizacije, svaki operater može reklamirati podmrežu sa fiktivnim informacijama o dužini rute i pokrenuti tranzit kroz sebe dijela saobraćaja iz drugih sistema koji ne primjenjuju filtriranje reklama.
izvor: opennet.ru