Orange España, de op een na grootste mobiele operator van Spanje, heeft woensdag te kampen gehad met een grote storing nadat een onbekende partij toegang had gekregen tot een account om de wereldwijde routeringstabel te manipuleren met behulp van een "belachelijk zwak" wachtwoord. Vanaf 9:28 UTC logde een persoon met de gebruikersnaam Snow in op Orange's RIPE NCC-account met het wachtwoord ripadmin. Het RIPE NCC is verantwoordelijk voor het beheer en de distributie van IP-adressen en bedient 75 landen in Europa, het Midden-Oosten en Centraal-Azië.
Snow voegde eerst nieuwe ROA's (Route Origin Authorizations) toe aan de globale routeringstabel, wat aanvankelijk geen fouten veroorzaakte. Snow voegde later echter ROA's toe met "nepbronnen", wat leidde tot een aanzienlijke vermindering van het aantal geldige routes van Orange, wat op zijn beurt leidde tot servicestoringen. Het probleem werd verergerd door het gebruik van het RPKI-systeem (Resource Public Key Infrastructure), ontworpen om ongeautoriseerde route-onderschepping te voorkomen, waardoor het netwerk van Orange feitelijk niet meer functioneerde.
Hudson Rock heeft inloggegevens ontdekt voor het verkopen van online winkels die sinds september zijn gestolen met behulp van malware die op een Orange-computer is geïnstalleerd. De onderzoekers merkten ook de duizenden andere RIPE-accountbeschermingsreferenties op die op dergelijke marktplaatsen beschikbaar zijn.
Dit incident benadrukt de kwetsbaarheid van het BGP-systeem en legt ernstige veiligheidsproblemen bij Orange bloot. Het gebruik van een zwak wachtwoord en het gebrek aan multi-factor authenticatie, evenals malware die op de computer van een werknemer is geïnstalleerd en die vier maanden onopgemerkt bleef, zijn ernstige fouten die nooit hadden mogen gebeuren in een organisatie van de omvang van Orange. Onderzoekers hopen dat dit incident een wake-up call zal zijn voor andere dienstverleners en hen ertoe zal aanzetten hun beveiligingsmaatregelen aan te scherpen.
Bron: linux.org.ru