Het compromitteren van een beheerdersaccount leidde tot een bijna vier uur durende storing bij de op één na grootste Spaanse telecomoperator, Orange Espagne, die 11 miljoen abonnees bedient. Om toegang te krijgen tot de RIPE NCC-registrarinterface in Orange Espagne, werd het voorspelbare wachtwoord "ripeadmin" gebruikt en was tweefactorauthenticatie niet ingeschakeld.
Het RIPE-wachtwoord werd onderschept toen het systeem van een medewerker werd geïnfecteerd met malware en bevindt zich sinds september in gecompromitteerde wachtwoorddatabases die op de zwarte markt worden verkocht. Het is opmerkelijk dat deze databases naast het Orange Espagne-account duizenden andere accounts bevatten waarmee verbinding kan worden gemaakt met access.ripe.net, die mogelijk kunnen worden gebruikt om soortgelijke aanvallen uit te voeren.
Het incident bleef onopgemerkt tot 2 januari, toen een vandaal de RIPE NCC-webinterface binnendrong en wijzigingen aanbracht in de BGP- en RPKI-instellingen (Resource Public Key Infrastructure), waarna de routering van ongeveer de helft van het verkeer van de operator bijna vier uur lang werd verstoord. communicatie. De acties van de aanvallers leidden ertoe dat RPKI-technologie, ontworpen om BGP-aankondigingen tegen vervalsing te beschermen, werd gebruikt om legitieme aankondigingen te blokkeren.
De aanvaller creëerde verschillende nieuwe RPKI ROA-records (Route Origin Authorization), waaronder records die grote blokken Orange Espagne-adressen koppelden aan het autonome systeem van iemand anders, wat ertoe leidde dat correcte BGP-aankondigingen van het autonome systeem van deze operator werden verzonden. geblokkeerd op de routers van veel backbone-operators. Als gevolg hiervan werd het aantal BGP-routes geassocieerd met Orange Espagne teruggebracht van 9200 naar 7400, en daalde het verkeer met bijna de helft.
RPKI (Resource Public Key Infrastructure) wordt gebruikt om BGP-aankondigingen te autoriseren en stelt u in staat te bepalen of een BGP-aankondiging afkomstig is van de netwerkeigenaar of niet. Bij het gebruik van RPKI voor autonome systemen en IP-adressen wordt een vertrouwensketen opgebouwd van IANA naar regionale registrars (RIR's) en vervolgens naar serviceproviders (LIR's) en eindgebruikers, waardoor derden kunnen verifiëren dat de werking van de bron goed is verlopen. uitgevoerd door de eigenaar. Zonder toestemming kan elke operator een subnet adverteren met fictieve informatie over de routelengte en door zichzelf een deel van het verkeer initiëren van andere systemen die geen advertentiefiltering toepassen.
Bron: opennet.ru