El proveedor español Orange fue víctima de un ataque a su enrutamiento BGP a principios de año. Según informes de fuentes de seguridad, el atacante utilizó la cuenta ligeramente segura del proveedor de servicios de telecomunicaciones en RIPE, el registro europeo de direcciones IP, para almacenar nuevas rutas. Como resultado, el tráfico de Internet de los clientes de Orange cayó drásticamente.
Publicidad
El miércoles por la tarde de esta semana, los primeros observadores informaron de un ataque a las Líneas Naranjas. Según el experto en seguridad Kevin Beaumont, un atacante lo tenía Orange recoge el tráfico de al menos un bloque de direcciones IP /12 (es decir, máscara de red 255.240.0.0)..
El tráfico de Orange se desplomó después de que los atacantes se apoderaran de sus direcciones IP.
(Foto: Kevin Beaumont / X)
El atacante, que se denunció a través de Twitter, depositó nuevos certificados de origen de ruta (ROA) para el tráfico de Internet a direcciones relacionadas.
Los ROA son parte del sistema de infraestructura de clave pública de recursos (RPKI). RPKI se introdujo específicamente para evitar la redirección de rutas BGP que antes eran completamente inseguras en la red. Los ROA ahora se verifican para determinar si los registrantes de ruta también son propietarios válidos para ciertos bloques de IP.
Por la puerta principal
Sin embargo, los certificados de enrutamiento son de poca utilidad si los propietarios no aseguran el acceso a su cuenta RIPE. Varios informes, incluida información del atacante, indican que simplemente se hizo cargo de la cuenta de Orange a través del registro de direcciones europeo RIPE. Los titulares de direcciones lo utilizan para administrar sus direcciones IP y los números AS necesarios para los anuncios BGP.
Con una contraseña débil («ripeadmin») y sin autenticación de dos factores, el atacante lo tuvo fácil. Obtuvo la información de una base de datos de contraseñas y credenciales robadas que ha estado en línea desde el verano pasado.
En una oficina de RIPE de tiempo completo, MADURO NCC, respondieron Además de restaurar los derechos de acceso a Orange, hemos pedido a todos los titulares de direcciones que utilicen estrictamente la autenticación de dos factores, que ha sido posible durante años.
¿Evitar la autenticación de dos factores seguirá siendo apropiado en el futuro?
El director general de RIPE NCC, Hans Peter Hollen, también anunció que actualmente están comprobando si otras cuentas se han visto afectadas. Ahora que se conoce el incidente, dijo Beaumont, espera más ataques con este método. Y añadió: «Ahora hay miles de pruebas de cuentas de access.ripe.net en sitios de phishing, y es posible que se repitan acciones contra empresas e ISP en toda Europa».
Aún está pendiente una respuesta a la solicitud de RIPE NCC con respecto a cuentas adicionales infectadas o comprometidas y la posible responsabilidad de proteger las cuentas de RIPE con autenticación de dos factores en el futuro. La España Naranja escapó con un ojo morado; Al parecer, el atacante sólo quería exponer al proveedor.
(DMK)
«Gurú profesional del café. Jugador típico. Defensor del alcohol. Fanático del tocino. Organizador».
