Servicios de Orange afectados por un robo de credenciales
Este día 3 de enero a partir de las 16:00 horas de España, usuarios de Orange empezaron a reportar problemas de acceso a Internet. Estos persistieron al menos durante 4 horas, según indican servicios cómo Downdetector. Los usuarios más avezados avisaban en foros de que podría existir un problema con los DNS por defecto de la compañía.
Lo que nadie esperaba era la historia que se iba desvelando en la cuenta de twitter Ms_Snow_OwO . En un primer mensaje avisaba a Orange España de que había «arreglado» la seguridad de su cuenta de administrador de RIPE. Instaba a la compañía a contactar para facilitar las nuevas credenciales.
RIPE, BGP y RPKI
RIPE (Réseaux IP Européens) es la organización europea encargada de la coordinación administrativa y técnica necesaria para mantener y desarrollar Internet en Europa. Entre sus funciones está la gestión del enrutamiento entre ASNs (Autonomous System Number). Para esta interconexión entre redes se utiliza el protocolo BGP (Border Gateway Protocol), que anuncia a los demás ASN las direcciones IP de las que son responsables y a qué otros AS se conecta. Los enrutadores de BGP toman esta información y la introducen en una base de datos conocidas como tablas de enrutamiento.
El protocolo BGP es susceptible a ataques de suplantación consiguiendo que un enrutador BGP comience a enviar paquetes por una ruta que no es la correcta y que generalmente destina el tráfico a una red controlada por el atacante. Para evitar este tipo de ataques, se introdujo el protocolo RPKI (Resource Public Key Infrastructure). Este añade una capa criptográfica mediante certificados para que se pueda verificar que el agente que publicita sus recursos de Internet es quien dice ser.
Nada de esto importa si tu contraseña es débil
Pese a las protecciones descritas, en este caso los problemas con los servicios de Orange no se deben a ningún ataque contra el protocolo BGP. Sencillamente el usuario Ms_Snow_OwO se hizo con el control de la cuenta de administrador de RIPE usando una contraseña robada, según parece, en una infección con el malware Racoon que se produjo en el mes de septiembre.
La contraseña robada «ripeadmin» es de por sí terriblemente débil. Pero es que además, según un vídeo publicado en la propia cuenta de twitter del atacante, parece que ni siquiera se había establecido en la plataforma de RIPE un doble factor de autenticación.
Una vez con acceso a la cuenta, el atacante comenzó a cambiar las direcciones IP a las de otros AS y fue activando RPKI en los prefijos correspondientes, generando los problemas de los servicios de Internet que los usuarios de Orange fueron reportando a lo largo de la tarde.
Más información:
- https://bandaancha.eu/articulos/secuestran-cuenta-ripe-orange-espana-10796
- https://www.bleepingcomputer.com/news/security/hacker-hijacks-orange-spain-ripe-account-to-cause-bgp-havoc/
- https://twitter.com/weareDMNTRs/status/1742611383726817403
- https://www.infostealers.com/article/infostealer-infection-of-an-orange-employee-results-in-bgp-disruptions/
- https://downdetector.es/problemas/orange/
- https://twitter.com/Ms_Snow_OwO
La entrada Servicios de Orange afectados por un robo de credenciales se publicó primero en Una al Día.
Powered by WPeMatico
