Ένας παραβιασμένος λογαριασμός διαχειριστή οδήγησε σε σχεδόν τετράωρη διακοπή λειτουργίας στην Orange Espagne, τον δεύτερο μεγαλύτερο τηλεπικοινωνιακό πάροχο της Ισπανίας, ο οποίος εξυπηρετεί 11 εκατομμύρια συνδρομητές. Για να αποκτήσετε πρόσβαση στη διεπαφή του καταχωρητή, RIPE NCC Το Orange Espagne χρησιμοποιούσε τον προβλέψιμο κωδικό πρόσβασης "ripeadmin" και δεν είχε ενεργοποιημένο τον έλεγχο ταυτότητας δύο παραγόντων.
Ο κωδικός πρόσβασης RIPE υποκλάπηκε κατά τη διάρκεια μιας επίθεσης κακόβουλου λογισμικού στο σύστημα ενός υπαλλήλου και βρίσκεται σε βάσεις δεδομένων με παραβιασμένους κωδικούς πρόσβασης που πωλούνται στη μαύρη αγορά από τον Σεπτέμβριο. Αξίζει να σημειωθεί ότι εκτός από τον λογαριασμό Orange Espagne, οι συγκεκριμένες βάσεις δεδομένων περιέχουν επίσης χιλιάδες άλλους λογαριασμούς για σύνδεση στο access.ripe.net, οι οποίοι θα μπορούσαν ενδεχομένως να χρησιμοποιηθούν για την πραγματοποίηση παρόμοιων επιθέσεων.
Το περιστατικό πέρασε απαρατήρητο μέχρι τις 2 Ιανουαρίου, όταν ένας βάνδαλος απέκτησε πρόσβαση στη διεπαφή ιστού. RIPE NCC και δεν κατάφεραν να κάνουν αλλαγές στις ρυθμίσεις BGP και RPKI (Resource Public Key Infrastructure), διακόπτοντας τη δρομολόγηση περίπου του μισού της κίνησης του τηλεπικοινωνιακού παρόχου για σχεδόν τέσσερις ώρες. Οι ενέργειες των εισβολέων είχαν ως αποτέλεσμα η τεχνολογία RPKI, η οποία έχει σχεδιαστεί για να προστατεύει τις ανακοινώσεις BGP από πλαστογράφηση, να χρησιμοποιείται για τον αποκλεισμό νόμιμων ανακοινώσεων.
Ο εισβολέας δημιούργησε αρκετές νέες εγγραφές RPKI ROA (Route Origin Authorization), μεταξύ των οποίων υπήρχαν εγγραφές που συνέδεαν μεγάλα μπλοκ διευθύνσεων Orange Espagne με το αυτόνομο σύστημα κάποιου άλλου, γεγονός που οδήγησε στο γεγονός ότι οι σωστές ανακοινώσεις BGP από το αυτόνομο σύστημα αυτού του χειριστή άρχισαν να μπλοκάρονται στους δρομολογητές πολλών χειριστών δικτύου κορμού. Ως αποτέλεσμα, ο αριθμός των διαδρομών BGP που συνδέονταν με την Orange Espagne μειώθηκε από 9200 σε 7400 και η κυκλοφορία μειώθηκε σχεδόν κατά το ήμισυ.
Το RPKI (Resource Public Key Infrastructure - Υποδομή Δημόσιου Κλειδιού Πόρων) χρησιμοποιείται για την εξουσιοδότηση ανακοινώσεων BGP και επιτρέπει σε κάποιον να προσδιορίσει εάν μια ανακοίνωση BGP προέρχεται από τον κάτοχο του δικτύου ή όχι. Όταν χρησιμοποιείται το RPKI για αυτόνομα συστήματα και Διευθύνσεις IP Δημιουργείται μια αλυσίδα εμπιστοσύνης από την IANA προς τους περιφερειακούς καταχωρητές (RIR) και στη συνέχεια προς τους παρόχους (LIR) και τους τελικούς χρήστες, επιτρέποντας σε τρίτους να επαληθεύσουν ότι μια συναλλαγή πόρων πραγματοποιήθηκε από τον κάτοχό της. Χωρίς εξουσιοδότηση, οποιοσδήποτε χειριστής μπορεί να διαφημίσει ένα υποδίκτυο με πλασματικές πληροφορίες μήκους διαδρομής και να ξεκινήσει τη διαμετακόμιση κάποιας κίνησης από άλλα συστήματα που δεν εφαρμόζουν φιλτράρισμα διαφημίσεων.
Πηγή: opennet.ru
