Η Orange Spain υπέστη σήμερα διακοπή του Διαδικτύου, αφού ένας χάκερ παραβίασε τον λογαριασμό RIPE της εταιρείας για να ρυθμίσει εσφαλμένα τη δρομολόγηση BGP και
μι
α διαμόρφωση RPKI.
Η δρομολόγηση της κυκλοφορίας στο Διαδίκτυο διαχειρίζεται το Border Gateway Protocol (BGP), το οποίο επιτρέπει στους οργανισμούς να συσχετίζουν τις διευθύνσεις IP τους με αριθμούς αυτόνομου συστήματος (AS) και να τις διαφημίζουν σε άλλους δρομολογητές στους οποίους είναι συνδεδεμένοι, γνωστοί ως ομότιμοι.
Αυτές οι διαφημίσεις BGP δημιουργούν έναν πίνακα δρομολόγησης που διαδίδεται σε όλους τους άλλους δρομολογητές αιχμής στο Διαδίκτυο, επιτρέποντας στα δίκτυα να γνωρίζουν την καλύτερη διαδρομή για την αποστολή επισκεψιμότητας σε μια συγκεκριμένη διεύθυνση IP.
Ωστόσο, όταν ένα αδίστακτο δίκτυο ανακοινώνει εύρη IP που συνήθως συσχετίζονται με έναν άλλο αριθμό AS, είναι δυνατό να παραβιαστεί αυτά τα εύρη IP για να ανακατευθύνει την κυκλοφορία σε κακόβουλους ιστότοπους ή δίκτυα.
Σύμφωνα με
Cloudflare
αυτό είναι δυνατό επειδή το BGP βασίζεται στην εμπιστοσύνη και ο πίνακας δρομολόγησης θα ενημερωθεί με βάση το ποιος διαφημιζόμενος έχει τη συντομότερη και πιο συγκεκριμένη διαδρομή.
Για να αποφευχθεί αυτό, δημιουργήθηκε ένα νέο πρότυπο που ονομάζεται Υποδομή Δημόσιου Κλειδιού Πόρων (RPKI) που λειτουργεί ως κρυπτογραφική λύση για την αεροπειρατεία BGP.
“Η υποδομή δημόσιου κλειδιού πόρων (RPKI) είναι μια κρυπτογραφική μέθοδος υπογραφής εγγραφών που συσχετίζουν μια ανακοίνωση διαδρομής BGP με τον σωστό αριθμό προέλευσης AS”, εξηγεί μια
Άρθρο στο Cloudflare
στο RPKI.
Ενεργοποιώντας το RPKI με ένα σώμα δρομολόγησης όπως το ARIN ή το RIPE, ένα δίκτυο μπορεί να πιστοποιήσει κρυπτογραφικά ότι μόνο οι δρομολογητές υπό τον έλεγχό τους μπορούν να διαφημίσουν έναν αριθμό AS και τις σχετικές διευθύνσεις IP τους.
Ο χάκερ παραβιάζει τον λογαριασμό RIPE για να σπάσει το BGP
Χθες, ένας ηθοποιός απειλών με το όνομα ‘
Snow
‘ παραβίασε τον λογαριασμό RIPE της Orange Spain και έστειλε tweet στην Orange Spain για να επικοινωνήσει μαζί τους σχετικά με τη λήψη νέων διαπιστευτηρίων.
Έκτοτε, ο εισβολέας τροποποίησε τον αριθμό AS που σχετίζεται με τις διευθύνσεις IP της εταιρείας και ενεργοποίησε μια μη έγκυρη διαμόρφωση RPKI σε αυτές.
Η ανακοίνωση των διευθύνσεων IP στον αριθμό AS κάποιου άλλου και στη συνέχεια η ενεργοποίηση του RPKI είχε ως αποτέλεσμα να μην ανακοινώνονται πλέον σωστά αυτές οι διευθύνσεις IP στο Διαδίκτυο.
“Όπως βλέπουμε, αυτό που έκαναν ήταν να δημιουργήσουν κάποιες εγγραφές ROA /12, οι οποίες βασικά υποδεικνύουν ποιος είναι η ΑΡΧΗ πάνω από ένα πρόθεμα (δηλαδή, το AS που μπορεί να το ανακοινώσει)”
Φελίπε Κανιζάρες
CTO από την DMNTR Network Solutions, είπε στο BleepingComputer.
“Αυτά ομαδοποίησαν τα προθέματα /22 και /24 που ανακοινώθηκαν από την Orange Spain, υποδεικνύοντας ότι το AS που έπρεπε να ανακοινώσει αυτό το πρόθεμα ήταν AS49581 (Ferdinand Zink που διαπραγματεύεται ως Tube-Hosting).”
“Μόλις έγινε αυτό, ενεργοποίησαν το RPKI σε εκείνο το /12… και αντίο…”
Μη έγκυρη υλοποίηση RPKI σε ανακοινωμένες διευθύνσεις IP
Πηγή: Cañizares
Αυτό οδήγησε σε ένα πρόβλημα απόδοσης στο δίκτυο της Orange Spain μεταξύ 14:45 και 16:15 UTC, το οποίο φαίνεται στο παρακάτω γράφημα επισκεψιμότητας Cloudflare για το AS12479.
Γράφημα κίνησης για το AS12479 της Orange Spain
Πηγή:
Cloudflare
Η Orange Spain επιβεβαίωσε έκτοτε ότι ο
λογαριασμός
της στο RIPE παραβιάστηκε και άρχισε να αποκαθιστά τις υπηρεσίες.
“ΣΗΜΕΙΩΣΗ: Ο λογαριασμός Orange στο κέντρο συντονισμού δικτύου IP (RIPE) έχει υποστεί ακατάλληλη πρόσβαση που επηρέασε την περιήγηση ορισμένων πελατών μας. Η υπηρεσία ουσιαστικά αποκαταστάθηκε.”
Η Orange Spain έγραψε στο Twitter
.
«Επιβεβαιώνουμε ότι σε καμία περίπτωση δεν διακυβεύονται τα δεδομένα των πελατών μας, έχει επηρεάσει μόνο την πλοήγηση ορισμένων υπηρεσιών».
Ενώ
δεν είναι
σαφές πώς ο ηθοποιός της απειλής παραβίασε τον λογαριασμό τους RIPE, ο Cañizares είπε στο BleepingComputer ότι πιστεύει ότι η Orange Spain δεν ενεργοποίησε τον έλεγχο ταυτότητας δύο παραγόντων στον λογαριασμό.
Ο Cañizares δημιούργησε ένα
νήμα στο Χ
συνοψίζοντας πώς έγινε αυτή η επίθεση.
Η BleepingComputer επικοινώνησε με την Orange Spain με ερωτήσεις σχετικά με την επίθεση, αλλά δεν έχει λάβει απάντηση αυτή τη στιγμή.
VIA:
bleepingcomputer.com
