Operater Orange Espana zaradi lahkega gesla tarča tarča vdora

Matej Huš

7. jan 2024 ob 16:29:41

V sredo so hekerji pridobili dostop do računa, ki ga ima operater Orange España pri organizaciji RIPE, ki skrbi za naslove IP na širšem področju Evrope, Bližnjega vzhoda in osrednje Azije, kar obsega 75 držav. Heker z vzdevkom Snow (Ms_Snow_OwO) se je z ukradenimi prijavnimi podatki prebil do računa pri RIPE, kjer je spremenil tabele za BGP (Border Gateway Protocol). Heker je v tabele dodal več blokov IP-naslovov, med katerimi vsi niso pripadali Orangeu. S tem je pokvaril ROA (Route Origin Authorizations). Ko je na primer dodal 149.74.0.0/16, je s tem preklical vse nižje (krajše) ROA, ki sodijo v isti blok (npr. 149.74.100.0/23). Nenadoma je torej Orange oglaševal IP-je, do katerih ne prenaša prometa, kar je povzročilo kaos oziroma nedostopnost teh strani.

Napad, ki je trajal približno štiri ure, je natančno opisal Doug Madory. Dodaja, da ni čisto jasno, kaj je napadalec želel storiti. Njegove poteze niso imele veliko smisla, četudi bi žel povzročiti največji možni obseg škode. Zdi se, da se je le igral z nastavitvami. Napad je po eni strani pokazal, da je BGP ranljiv, ker deluje na zaupanju, da vsak oglašuje naslove, do katerih dostavlja promet. Zlonamerni igralci so v preteklosti z napačnimi vnosi v BGP že preusmerjali promet. A bistveno večji problem so napadalci odkrili v operaterju Orange.

Varnostni protokoli v podjetju so očitno slabi. Geslo za dostop do računa, ki je imel povezani elektronski naslov adminripe-ipnt@orange.es, je bilo kar adminripe. Niso uporabljali dvostopenjskega preverjanja pristnosti (2FA), geslo je bilo šibko. Prijavne podatke so v prvi fazi sicer najbrž ukradli z malwarom Infostealer, ki ga je eden izmed uslužbencev nevede namestil 4. septembra lani.