Getty-afbeeldingen
Orange España, de op een na grootste mobiele operator van Spanje, heeft woensdag te kampen gehad met een grote storing nadat een onbekende partij een ‘belachelijk zwak’ wachtwoord had verkregen en dit gebruikte om toegang te krijgen tot een account om de wereldwijde routeringstabel te beheren die bepaalt welke netwerken het internetverkeer van het bedrijf afleveren. zeiden ze, onderzoekers.
De kaping begon rond 9:28 UTC (rond 2:28 PT) toen een partij inlogde op Orange’s RIPE NCC-account met het wachtwoord “ripeadmin” (zonder aanhalingstekens). Het Netwerk Coördinatie Centrum RIPE is een van de vijf regionale internetregisters, die verantwoordelijk zijn voor het beheren en toekennen van IP-adressen aan internetproviders, telecommunicatieorganisaties en bedrijven die hun eigen netwerkinfrastructuur beheren. RIPE bedient 75 landen in Europa, het Midden-Oosten en Centraal-Azië.
“Het werd lelijk”
Het wachtwoord kwam aan het licht nadat de partij, die de naam Snow droeg, een afbeelding op sociale media plaatste met daarop het e-mailadres van orange.es dat aan het RIPE-account was gekoppeld. RIPE zei dat het werkt aan manieren om de accountbeveiliging te verbeteren.
Beveiligingsbedrijf Hudson Rock heeft een e-mailadres opgenomen in een database die het onderhoudt om inloggegevens voor verkopen op online bazaars bij te houden. In de aankondiging zei het beveiligingsbedrijf dat de gebruikersnaam en het ‘belachelijk zwakke’ wachtwoord werden verzameld door informatiestelende malware die sinds september op Orange-computers was geïnstalleerd. Het wachtwoord wordt vervolgens te koop aangeboden op de markt voor informatiediefstal.
Judson Rock
Onderzoeker Kevin Beaumont zei dat er op dergelijke markten ook duizenden inloggegevens beschikbaar zijn die andere RIPE-accounts beschermen.
Nadat hij had ingelogd op Orange’s RIPE-account, heeft Snow wijzigingen aangebracht in de mondiale routeringstabel waarop de vervoerder vertrouwt om te bepalen welke backbone-providers bevoegd zijn om zijn verkeer naar verschillende delen van de wereld te vervoeren. Deze tabellen worden beheerd met behulp van het Border Gateway Protocol (BGP), dat één regionaal netwerk met de rest van internet verbindt. Concreet heeft Snow verschillende nieuwe ROA’s toegevoegd, een afkorting voor Route Origin Authorizations. Dankzij deze vermeldingen kunnen “autonome systemen”, zoals Orange’s AS12479, andere autonome systemen of grote delen van IP-adressen aanwijzen om hun verkeer naar verschillende delen van de wereld te bezorgen.
In de beginfase hadden de wijzigingen geen significant effect omdat ROA’s Snow de aangekondigde IP-adressen (93.117.88.0/22 en 93.117.88.0/21, en 149.74.0.0/16) toevoegde en al afkomstig was van Orange’s AS12479. Een paar minuten later voegde Snow ROA toe op vijf extra routes. Op één na waren ze allemaal afkomstig van Orange AS en hadden opnieuw geen impact op het verkeer, volgens een gedetailleerd gebeurtenislogboek van Doug Madory, een BGP-expert bij beveiligings- en netwerkbedrijf Kentik.
Het creëren van de ROA voor 149.74.0.0/16 was de eerste daad van Snow die problemen veroorzaakte, aangezien de maximale lengte van het voorvoegsel was ingesteld op 16, waardoor alle kleinere routes die het adresbereik gebruikten ongeldig waren
“Het maakte alle routes ongeldig die specifieker zijn (lengte van het voorvoegsel) dan 16”, vertelde Madory aan Ars in een online interview. “Dus routes zoals 149.74.100.0/23 werden ongeldig en werden gefilterd. Dan [Snow] genereerde meer ROA om die routes te dekken. Waarom? Ik weet het niet zeker. Ik denk dat ze eerst maar een grapje maakten. Voordat die ROA in het leven werd geroepen, was er geen enkele ROA die iets claimde over dit bereik aan adressen.”