Administraatorikonto kompromiss tõi kaasa 11 miljonit abonenti teenindava Hispaania suuruselt teise telekommunikatsioonioperaatori Orange Espagne peaaegu neljatunnise katkestuse. RIPE NCC registripidaja liidesele juurdepääsuks Orange Espagne'is kasutati ennustatavat parooli "ripeadmin" ja kahefaktoriline autentimine ei olnud lubatud.
RIPE parool püüti kinni, kui töötaja süsteem nakatus pahavaraga ja on alates septembrist olnud mustal turul müüdavates ohustatud paroolide andmebaasides. Tähelepanuväärne on see, et lisaks Orange Espagne'i kontole sisaldavad need andmebaasid tuhandeid teisi kontosid access.ripe.net ühenduse loomiseks, mida saaks potentsiaalselt kasutada sarnaste rünnakute läbiviimiseks.
Juhtum jäi avastamata kuni 2. jaanuarini, mil vandaal sisenes RIPE NCC veebiliidesesse ja tegi muudatusi BGP ja RPKI (Resource Public Key Infrastructure) seadetes, misjärel oli ligi neljaks tunniks häiritud ligikaudu poole operaatori liikluse suunamine. side. Ründajate tegevus tõi kaasa tõsiasja, et RPKI tehnoloogiat, mille eesmärk oli kaitsta BGP teadaandeid võltsimise eest, kasutati seaduslike teadaannete blokeerimiseks.
Ründaja lõi mitu uut RPKI ROA (Route Origin Authorization) kirjet, mille hulgas olid kirjed, mis seostasid suuri Orange Espagne'i aadresside plokke kellegi teise autonoomse süsteemiga, mis viis selleni, et selle operaatori autonoomsest süsteemist hakati edastama õigeid BGP-teateid. blokeeritud paljude magistraaloperaatorite ruuterites. Selle tulemusena vähenes Orange Espagne'iga seotud BGP-liinide arv 9200-lt 7400-le ja liiklus vähenes peaaegu poole võrra.
RPKI-d (Resource Public Key Infrastructure) kasutatakse BGP-teadete autoriseerimiseks ja see võimaldab teil määrata, kas BGP-teade pärineb võrgu omanikult või mitte. Kui kasutate RPKI-d autonoomsete süsteemide ja IP-aadresside jaoks, luuakse usaldusahel IANA-st piirkondlike registripidajateni (RIR) ning seejärel teenusepakkujateni (LIR) ja lõppkasutajateni, mis võimaldab kolmandatel osapooltel kontrollida ressursi toimimist. teostab selle omanik. Iga operaator võib ilma volituseta reklaamida alamvõrku fiktiivse teabega marsruudi pikkuse kohta ja algatada osa liiklusest enda kaudu transiiti teistest süsteemidest, mis ei kasuta reklaamide filtreerimist.
Allikas: opennet.ru