Zaradi vdora v skrbniški račun je prišlo do skoraj štiriurnega izpada omrežja Orange Espagne, drugega največjega španskega telekomunikacijskega operaterja, ki ima 11 milijonov naročnikov. Za dostop do vmesnika registrarja je... RIPE NCC Orange Espagne je uporabljal predvidljivo geslo »ripeadmin« in ni imel omogočene dvofaktorske avtentikacije.
Geslo RIPE je bilo prestreženo, ko je bil sistem zaposlenega okužen z zlonamerno programsko opremo in je od septembra v ogroženih zbirkah podatkov gesel, ki se prodajajo na črnem trgu. Omeniti velja, da te zbirke podatkov poleg računa Orange Espagne vsebujejo na tisoče drugih računov za povezovanje z access.ripe.net, ki bi se potencialno lahko uporabili za izvajanje podobnih napadov.
Incident je ostal neopažen do 2. januarja, ko je vandal dostopal do spletnega vmesnika. RIPE NCC in ni spremenil nastavitev BGP in RPKI (Resource Public Key Infrastructure), kar je za skoraj štiri ure prekinilo usmerjanje približno polovice prometa telekomunikacijskega operaterja. Dejanja napadalcev so povzročila, da je bila tehnologija RPKI, zasnovana za zaščito obvestil BGP pred ponarejanjem, uporabljena za blokiranje legitimnih obvestil.
Napadalec je ustvaril več novih zapisov RPKI ROA (Route Origin Authorization), med katerimi so bili zapisi, ki povezujejo velike bloke naslovov Orange Espagne z avtonomnim sistemom nekoga drugega, kar je privedlo do dejstva, da so se začela pravilna obvestila BGP iz avtonomnega sistema tega operaterja. blokiran na usmerjevalnikih številnih hrbteničnih operaterjev. Posledično se je število poti BGP, povezanih z Orange Espagne, zmanjšalo z 9200 na 7400, promet pa se je zmanjšal za skoraj polovico.
RPKI (Resource Public Key Infrastructure) se uporablja za avtorizacijo obvestil BGP in omogoča ugotavljanje, ali obvestilo BGP izvira od lastnika omrežja ali ne. Pri uporabi RPKI za avtonomne sisteme in IP-naslovi Veriga zaupanja se gradi od IANA do regionalnih registrarjev (RIR) in nato do ponudnikov (LIR) in končnih uporabnikov, kar tretjim osebam omogoča, da preverijo, ali je transakcijo z virom izvedel njegov lastnik. Brez dovoljenja lahko kateri koli operater oglašuje podomrežje s fiktivnimi podatki o dolžini poti in sproži tranzit dela prometa iz drugih sistemov, ki ne uporabljajo filtriranja oglasov.
Vir: opennet.ru
