1月5日，國際電信巨頭Orange的西班牙公司日前遭遇互聯(lián)網(wǎng)中斷，原因是黑客入侵了該公司的RIPE賬戶，篡改了邊界網(wǎng)關(guān)協(xié)議（BGP）路由和資源公鑰基礎(chǔ)設(shè)施（RPKI）配置。

Orange西班牙是西班牙最大的移動運營商之一，此次網(wǎng)絡(luò)中斷大約持續(xù)了3個小時。

BGP協(xié)議負責(zé)處理互聯(lián)網(wǎng)上的流量路由，允許組織將IP地址與自治系統(tǒng)（AS）編號關(guān)聯(lián)，并向這些編號連接的其他路由器（也稱作對等路由器）推送廣播。這些BGP廣播構(gòu)成了一張路由表，傳播到互聯(lián)網(wǎng)上所有其他邊緣路由器。根據(jù)這張路由表，網(wǎng)絡(luò)可以找到將流量發(fā)送到特定IP地址的最佳路由。

然而，惡意網(wǎng)絡(luò)會宣告與其他自治系統(tǒng)編號重合的IP地址范圍，從而使攻擊者有可能劫持這些IP地址，將流量重定向到惡意網(wǎng)站或惡意網(wǎng)絡(luò)。

Cloudflare表示，上述攻擊完全可行，這是因為BGP協(xié)議建立在信任基礎(chǔ)之上，路由表會根據(jù)擁有最短和更具體路由的廣播方而更新。

為了防止上述攻擊，新標(biāo)準RPKI被引入，提供防止BGP協(xié)議劫持的加密解決方案。Cloudflare發(fā)文稱，“RPKI是一種用于簽署記錄的加密方法，將BGP路由公告與正確的發(fā)起自治系統(tǒng)的號碼關(guān)聯(lián)起來。”

通過在美洲互聯(lián)網(wǎng)號碼注冊管理機構(gòu)ARIN、歐洲IP網(wǎng)絡(luò)資源協(xié)調(diào)中心RIPE等路由機構(gòu)啟用RPKI，網(wǎng)絡(luò)可以通過加密形式證明，只有他們控制的路由器才能宣告對應(yīng)的自治系統(tǒng)編號及其關(guān)聯(lián)IP地址。

黑客入侵RIPE賬戶，破壞BGP協(xié)議

此前，一名昵稱為Snow的威脅行為者入侵了Orange西班牙的RIPE賬戶，并在推特上發(fā)貼要求該公司與他聯(lián)系，以獲取新的憑證。

此后，攻擊者修改了公司IP地址關(guān)聯(lián)的自治系統(tǒng)編號，并啟用了無效的RPKI配置。

攻擊者宣布的IP地址屬于其他組織的自治系統(tǒng)編號，啟用RPKI協(xié)議會導(dǎo)致公司IP地址無法在互聯(lián)網(wǎng)上正常公告。

DMNTR網(wǎng)絡(luò)解決方案公司的首席技術(shù)官Felipe Ca?izares表示：“我們發(fā)現(xiàn)，他們創(chuàng)建了一些路由起源授權(quán)（ROA）/12記錄，這些記錄基本上說明了誰是前綴的授權(quán)者（即可以公告它的自治系統(tǒng)）。這些記錄將Orange西班牙公告的/22和/24前綴分組在一起，說明公告前綴的自治系統(tǒng)應(yīng)該是AS49581（Ferdinand Zink trading as Tube-Hosting公司）。完成這一步之后，他們在/12記錄上啟用了RPKI……攻擊就大功告成了。”

根據(jù)Cloudflare提供的AS12479流量監(jiān)控圖，Orange西班牙在UTC時間14:45至16:15之間出現(xiàn)了性能問題。

Orange西班牙已經(jīng)確認，他們的RIPE賬戶遭到了入侵，并已開始恢復(fù)服務(wù)。

該公司在推特發(fā)帖表示，“注意：Orange在RIPE的帳戶遭到了不當(dāng)訪問，部分客戶的瀏覽受到影響。服務(wù)已基本恢復(fù)。我們確認，客戶的數(shù)據(jù)在任何情況下都沒有受到影響，受影響的只是部分服務(wù)的瀏覽功能。”

目前尚不清楚威脅行為者是如何入侵RIPE賬戶的，但Ca?izares告訴外媒BleepingComputer，他認為Orange西班牙沒有在RIPE帳戶上啟用雙因素身份驗證。

Ca?izares在推特上創(chuàng)建了一條話題，總結(jié)這次攻擊的發(fā)生情況。

BleepingComputer試圖與Orange西班牙聯(lián)系，了解有關(guān)攻擊的問題，但目前尚未收到回復(fù)。

憑據(jù)很可能是通過惡意軟件竊取的

盡管Orange西班牙尚未透露其RIPE賬戶是如何被入侵的，但威脅行為者在推特發(fā)布截圖提供了一條線索：被黑賬戶的電子郵件地址。

網(wǎng)絡(luò)安全情報公司Hudson Rock的員工Alon Gal告訴BleepingComputer，他在信息竊取惡意軟件竊取的賬戶列表中找到了這個電子郵件地址和RIPE賬戶的關(guān)聯(lián)密碼。

Hudson Rock的研究表明，“Orange西班牙員工的計算機于2023年9月4日被一種類似Raccoon的信息竊取惡意軟件感染。在這臺計算機上識別出了企業(yè)憑證，該員工持有部分憑證，并使用威脅行為者透露的電子郵件地址（adminripe-ipnt@orange.es）登錄了https://access.ripe.net。”

Alon Gal稱，該帳戶密碼是ripeadmin。對于如此關(guān)鍵的賬戶來說，這條密碼過于簡單。

黑客Snow后來確認了Hudson Rock的研究結(jié)果，并在推特上表示他正是從公開泄露的被竊取數(shù)據(jù)中找到了這個賬戶。

Snow在推特發(fā)帖說，“很多人想知道我如何獲取了這個賬戶的訪問權(quán)，我只想說，密碼安全性非常值得質(zhì)疑。我只是在尋找泄漏的機器數(shù)據(jù)，偶然發(fā)現(xiàn)了RIPE賬戶，密碼是ripeadmin。沒有雙重身份驗證，毫無社交工程學(xué)（SE）措施。”

當(dāng)被問及為什么要黑入該賬戶，黑客表示是為了“找樂子”。

RIPE也對此事件展開調(diào)查，表示他們已恢復(fù)了Orange西班牙的帳戶，并建議用戶啟用多因素認證。

RIPE在關(guān)于此次違規(guī)事件的頁面上發(fā)帖，“我們鼓勵賬戶持有者更新密碼并為賬戶啟用多因素認證。如果您懷疑賬戶可能受到影響，請向security@ripe.net報告。”

及時掌握網(wǎng)絡(luò)安全態(tài)勢 盡在傻蛋網(wǎng)絡(luò)安全監(jiān)測系統(tǒng)

【網(wǎng)絡(luò)安全監(jiān)管部門】免費試用

本文來源:互聯(lián)網(wǎng)

如涉及侵權(quán)，請及時與我們聯(lián)系，我們會在第一時間刪除或處理侵權(quán)內(nèi)容。
電話：400-869-9193 負責(zé)人：張明