It kompromis fan in behearder akkount late ta in hast fjouwer oeren ûnderbrekking fan de op ien nei grutste Spaanske telekomoperator, Orange Espagne, tsjinne 11 miljoen abonnees. Om tagong te krijen ta de RIPE NCC-registrar-ynterface yn Oranje Espagne, waard it foarsisbere wachtwurd "ripeadmin" brûkt en twa-faktor-autentikaasje waard net ynskeakele.
It RIPE-wachtwurd waard ûnderskept doe't it systeem fan in meiwurker ynfekteare wie mei malware en is sûnt septimber yn kompromittearre wachtwurddatabases ferkocht op 'e swarte merk. It is opmerklik dat neist it Orange Espagne-akkount, dizze databases tûzenen oare akkounts befetsje foar ferbining mei access.ripe.net, dy't mooglik brûkt wurde kinne om ferlykbere oanfallen út te fieren.
It ynsidint bleau net ûntdutsen oant 2 jannewaris, doe't in fandal de RIPE NCC-webynterface ynkaam en wizigingen makke oan 'e ynstellings fan BGP en RPKI (Resource Public Key Infrastructure), wêrnei't de rûte fan sawat de helte fan it ferkear fan 'e operator hast fjouwer oeren ûnderbrutsen waard. kommunikaasje. De aksjes fan 'e oanfallers liede ta it feit dat RPKI-technology, ûntworpen om BGP-oankundigingen te beskermjen tsjin ferfalsking, waard brûkt om legitime oankundigingen te blokkearjen.
De oanfaller makke ferskate nije RPKI ROA (Route Origin Authorization) records, wêrûnder records dy't grutte blokken fan Orange Espagne-adressen keppele oan it autonome systeem fan in oar, wat late ta it feit dat korrekte BGP-oankundigingen fan it autonome systeem fan dizze operator begon te wêzen blokkearre op 'e routers fan in protte backbone-operators. Dêrtroch waard it oantal BGP-rûtes ferbûn mei Oranje Espagne fermindere fan 9200 nei 7400, en it ferkear sakke mei hast de helte.
RPKI (Resource Public Key Infrastructure) wurdt brûkt om BGP-oankundigingen te autorisearjen en kinne jo bepale oft in BGP-oankundiging komt fan 'e netwurkeigner of net. By it brûken fan RPKI foar autonome systemen en IP-adressen, wurdt in keatling fan fertrouwen boud fan IANA nei regionale registrars (RIR's), en dan nei tsjinstferlieners (LIR's) en ein brûkers, wêrtroch tredden kinne ferifiearje dat de wurking fan 'e boarne wie útfierd troch de eigner. Sûnder autorisaasje kin elke operator in subnet advertearje mei fiktive ynformaasje oer de lingte fan 'e rûte en inisjearje fia himsels transit fan in diel fan it ferkear fan oare systemen dy't gjin advertinsjefiltering tapasse.
Boarne: opennet.ru