Una contraseña robada "admin" permite secuestrar la cuenta RIPE de Orange España y causa estragos

[LUK]

Ayer, un actor de amenazas llamado '@Ms_Snow_OwO' violó la cuenta RIPE de Orange España y publicó un tuit para ser contactado y obtener nuevas credenciales. El delincuente informático violó la cuenta RIPE de la empresa para configurar incorrectamente el enrutamiento BGP y una configuración RPKI.

El enrutamiento del tráfico en Internet lo maneja el Border Gateway Protocol (BGP), que permite a las organizaciones asociar sus direcciones IP con números de sistemas autónomos (AS) y anunciarlas a otros enrutadores a los que están conectadas, conocidos como sus pares.

Estos anuncios BGP crean una tabla de enrutamiento que se propaga a todos los demás enrutadores perimetrales de Internet, lo que permite a las redes conocer la mejor ruta para enviar tráfico a una dirección IP particular.

Sin embargo, cuando una red fraudulenta anuncia rangos de IP generalmente asociados con otro número AS, es posible secuestrar esos rangos de IP para redirigir el tráfico a sitios web o redes maliciosos. Según Cloudflare, esto es posible porque BGP se basa en la confianza y la tabla de enrutamiento se actualizará según qué anunciante tenga la ruta más corta y específica.

Para evitar esto, se creó un nuevo estándar llamado Infraestructura de clave pública de recursos (RPKI) que actúa como una solución criptográfica para el secuestro de BGP. "La infraestructura de clave pública de recursos (RPKI) es un método criptográfico para firmar registros que asocian un anuncio de ruta BGP con el número AS de origen correcto", explica un artículo de Cloudflare sobre RPKI.

Al habilitar RPKI con un organismo de enrutamiento como ARIN o RIPE, una red puede certificar criptográficamente que solo los enrutadores bajo su control pueden anunciar un número AS y sus direcciones IP asociadas.

El atacante modificó el número de AS asociado con las direcciones IP de la empresa y habilitó una configuración RPKI no válida en ellas. Anunciar las direcciones IP en el número AS de otra persona y luego habilitar RPKI efectivamente provocó que estas direcciones IP ya no se anunciaran correctamente en Internet.

"Como vemos, lo que hicieron fue crear unos registros ROA /12, que básicamente indican quién es la AUTORIDAD sobre un prefijo (es decir, el AS que puede anunciarlo)", dijo a BleepingComputer Felipe Cañizares, CTO de DMNTR Network Solutions. "Estos agrupaban los prefijos /22 y /24 anunciados por Orange España, indicando que el AS que debía anunciar ese prefijo era AS49581 (Ferdinand Zink comercializando como Tube-Hosting). Una vez hecho esto, activaron RPKI en ese /12… y adiós…"

Esto provocó un problema de rendimiento en la red de Orange España entre las 14:45 y las 16:15 UTC, que se puede ver en el gráfico de tráfico de Cloudflare para AS12479.

Desde entonces, Orange España ha confirmado que su cuenta RIPE fue pirateada y ha comenzado a restaurar los servicios. Cañizares ha creado un hilo en X resumiendo cómo se produjo este ataque.

Si bien Orange España no ha revelado cómo se violó su cuenta RIPE, el actor de amenazas proporcionó una pista en una captura de pantalla publicada en Twitter que contenía la dirección de correo electrónico de la cuenta hackeada. Alon Gal, del servicio de inteligencia de ciberseguridad Hudson Rock, dijo que este correo electrónico y una contraseña asociada para la cuenta RIPE se encontraron en una lista de cuentas robadas por malware que roba información.

"El ordenador del empleado de Orange fue infectado por un Infostealer tipo Raccoon el 4 de septiembre de 2023, y entre las credenciales corporativas identificadas en la máquina, el empleado tenía credenciales específicas para "https://access.ripe.net" utilizando la dirección de correo electrónico que fue revelado por el actor de la amenaza ([email protected])", explica una investigación de Hudson Rock. Según Gal, la contraseña de la cuenta era "ripeadmin", que es una contraseña muy sencilla para una cuenta crítica.

El malware que roba información se ha convertido en la pesadilla de las empresas, ya que los actores de amenazas los utilizan para recopilar credenciales para el acceso inicial a las redes corporativas.

Los actores de amenazas suelen comprar credenciales robadas en mercados de ciberdelincuencia, que luego se utilizan para violar las redes y realizar robo de datos, ciberespionaje y ataques de ransomware. Por esta razón, todas las cuentas deben tener habilitada la autenticación de dos o múltiples factores para que, incluso si una cuenta es robada, los atacantes no puedan iniciar sesión en ella.

Fuente: BC

[LUK]

Orange sigue desbordado con la configuración de sus IP dos días después del hackeo


El comportamiento de la red de Orange ha vuelto aparentemente a la normalidad dos días después del incidente en el que se vio comprometida su cuenta de acceso al registro regional de internet RIPE, a pesar de que el 20% de sus prefijos todavía siguen siendo inválidos y es innecesariamente la cuarta red con las rutas más fragmentadas en toda internet.

El caso Orange es único

El hackeo sufrido por Orange España ya es parte de la historia de internet en nuestro país y un caso de estudio, por su naturaleza inédita, entre los expertos en ciberseguridad de todo el mundo.

La persona que dejó desconectados durante varias horas a los clientes de la segunda mayor operadora en España, había encontrado las credenciales de acceso utilizadas por Orange España para gestionar sus direcciones IP en una publicación automatizada de datos recopilados por el malware Racoon, que se había colado el pasado 4 de septiembre en el ordenador de un empleado. La contraseña además era inexplicablemente sencilla, lo que junto con la ausencia de 2FA como protección, facilitó el acceso a la cuenta.

Antes del desastre, el atacante envió un mensaje a Orange por Twitter ironizando con que había solucionado la falta de seguridad de su cuenta RIPE y que le escribiesen un privado para obtener los nuevos credenciales. Orange respondió con un mensaje automatizado. A las 10:30 se producían las primeras modificaciones en la configuración de RIPE1, todavía sin mayores efectos. No fue hasta las 15:30 que el atacante activó registros ROA (Route Origin Attestations) en algunos prefijos más generales, como 62.36.0.0/16, 85.48.0.0/12 o 90.160.0.0/12 y es cuando se inicio el desastre.

Hasta la fecha Orange no había configurado objetos ROA para proteger sus direcciones IP. Con ROA, el dueño de un prefijo o rango de direcciones IP, indica en RIPE el sistema autónomo AS (Autonomous System, el de Orange es el 12479) que puede anunciar esas direcciones en internet. El resto de redes consultan esta información en los servidores RPKI (Resource Public Key Infrastructure) que mantienen los registros regionales antes de mandar tráfico hacia una IP, de forma que se aseguran de que nadie está usurpando al destinatario del tráfico.

Lo que el atacante hizo es poner como ROA para los prefijos de Orange el AS49581, que corresponde con una empresa alemana de hosting, de forma que el resto de redes empezaron a encontrar incongruencias entre quién anuncia una IP y quien debería hacerlo, desconectando los prefijos afectados, lo que se tradujo en que los clientes de Orange y sus marcas dejaron de poder conectarse a buena parte de internet. Según Cloudflare Radar, el tráfico de la red de Orange España descendió hasta un 50% a partir de ese momento.

RIPE tuvo que intervenir para devolver el acceso a sus legítimos propietarios. A las 19:00 los técnicos de Orange accedían a su cuenta de nuevo para corregir la situación mediante un parche. Esta vez dejaron los objetos ROA, modificando los más importantes para que apunten correctamente al AS de Orange.

Caos en la configuración de las direcciones IP de Orange

AS con mayor número de rutas anunciadas en internet

La configuración de los prefijos de Orange es la herencia de más de 2 décadas de fusiones y adquisiciones de diferentes proveedores de internet, como Uni2 o Jazztel. Durante este tiempo, no parece haberse efectuado una limpieza2 para reducir el número de prefijos anunciados, agregando los más específicos en un menor número de prefijos más generales.

Actualmente Orange España es la cuarta red en el mundo que más rutas anuncia3, incluso después de la reducción que se ha producido estos días. Orange anuncia 5755 prefijos, un 52% más de lo necesario. Por comparar, Movistar, que cuenta con 10,5 millones de IP frente a los 7 millones de Orange, las anuncia con tan solo 212 prefijos.

Aunque la red de Orange ha vuelto aparentemente a la normalidad, por delante queda trabajo de limpieza, pues en este momento miles de rutas siguen siendo inválidas. Según Cloudflare4, solo el 22% de los prefijos de Orange tienen RPKI activo y válido, aunque se trata de los más generales. Aún hay un 20% más especificos con RPKI inválido que no han sido corregidos, algunos de ellos aún apuntando al ASN configurado por el atacante.

• kentik.com/blog/digging-into-the-orange-espana-hack
• twitter.com/aalmenar/status/1742840921006236014
• cidr-report.org/as2.0
• radar.cloudflare.com/routing/as12479

Fuente: https://bandaancha.eu/articulos/orange-sigue-desbordado-configuracion-ip-10798