Ausfall von Orange Spanien: BGP-Verkehr von Bedrohungsakteuren gekapert
Bei einem kürzlich aufgetretenen Vorfall im Bereich der Cybersicherheit kam es bei Orange Spanien zu einem erheblichen Internet-Ausfall am 3. Januar, 2024. Ein Bedrohungsakteur, der sich "Snow" nennt, nutzte Schwachstellen im RIPE-Konto des Unternehmens aus. Die Website Ausfall von Orange Spanien resultierte aus einer Fehlkonfiguration des Border Gateway Protocol (BGP) Routing und der Implementierung einer ungültigen Resource Public Key Infrastructure (RPKI) Konfiguration.
Das BGP Traffic Hijack
Das Routing des Internet-Verkehrs basiert auf dem Border Gateway Protocol (BGP), das es Organisationen ermöglicht, ihre IP-Adressen mit autonomen Systemnummern (AS) zu verknüpfen. Diese Zuordnungen werden dann an die angeschlossenen Router, die so genannten Peers, weitergegeben und bilden eine Routing-Tabelle. Diese Tabelle leitet die optimale Route für die Weiterleitung des Datenverkehrs an bestimmte IP-Adressen.
Böswillige Akteure können jedoch die vertrauensbasierte Struktur von BGP ausnutzen. Indem sie fälschlicherweise IP-Bereiche ankündigen, die mit einer anderen AS-Nummer verbunden sind, können sie den Verkehr zu bösartigen Zielen umleiten. Cloudflare weist darauf hin, dass BGP auf Vertrauen beruht und die Routing-Tabelle auf der Grundlage der kürzesten und spezifischsten Route aktualisiert, die von Advertisern bereitgestellt wird.
Einführung in RPKI: Eine Lösung für BGP-Hijacking
Um BGP-Hijacking zu verhindern, wurde eine kryptografische Lösung namens Resource Public Key Infrastructure (RPKI) eingeführt. RPKI verknüpft BGP-Routenankündigungen mit der korrekten AS-Nummer des Absenders. Durch die Aktivierung von RPKI bei einer Routing-Organisation wie ARIN oder RIPE kann ein Netzwerk kryptografisch zertifizieren, dass nur Router unter seiner Kontrolle eine AS-Nummer und die zugehörigen IP-Adressen bekannt geben können.
Ausfall von Orange Spanien
Die Unterbrechung des Dienstes von Orange Spanien ereignete sich, als der Bedrohungsakteur "Snow" das RIPE-Konto von Orange Spanien kompromittierte. Nachdem er in das Konto eingedrungen war, änderte Snow die mit den IP-Adressen des Unternehmens verbundene AS-Nummer und aktivierte eine ungültige RPKI-Konfiguration. Durch die Erstellung falscher Route Origin Authorization (ROA)-Datensätze gab Snow an, dass eine andere AS-Nummer (AS49581) die IP-Adresspräfixe von Orange Spain ankündigen sollte. Durch die Aktivierung von RPKI für diese falschen Datensätze wurden die ordnungsgemäßen Internet-Ankündigungen unterbrochen. Dies führte zu spürbaren Orange Spain Netzwerkprobleme.
Reaktion und Erholung von Orange Spain
Bestätigen des BGP-Routing-Vorfallhat Orange Spanien schnell gehandelt, um die Dienste wiederherzustellen, und bestätigt den unbefugten Zugriff auf sein RIPE-Konto. In einem Tweet versicherte das Unternehmen den Nutzern, dass keine Kundendaten durch den Ausfall des Internetanbietersund betonte, dass nur die Service-Navigation betroffen war.
Sicherheit der Internet-Infrastruktur
Die Methode, mit der der Angreifer in das RIPE-Konto eingedrungen ist, bleibt unklar. Felipe Cañizares, CTO von DMNTR Network Solutions, vermutet, dass Orange Spanien möglicherweise keine Zwei-Faktor-Authentifizierung für das Konto implementiert hat.
Kompromittierung von Anmeldeinformationen durch Malware zum Informationsdiebstahl
Orange Spanien hat zwar keine Einzelheiten über den Ausfall des Ausfall des Telekommunikationsnetzesenthüllte die Cybersicherheitsabteilung, dass der Bedrohungsakteur CyberangriffSnow, die Zugangsdaten für das Konto durch Malware zum Stehlen von Informationen. Die Nachforschungen von Hudson Rock haben die Kompromittierung auf einen infizierten Computer am 4. September 2023 zurückgeführt. Die kompromittierten Anmeldedaten, einschließlich der E-Mail-Adresse ([email protected]) und des Passworts ("ripeadmin"), wurden in einer Liste von Konten gefunden, die von der Malware gestohlen wurden.
Zulassung und Motivation von Hackern
Snow bestätigte später, dass der Zugriff auf das Konto so einfach war, und wies auf die fragwürdige Passwortsicherheit hin. In einem Beitrag auf Twitter/X erwähnte Snow, dass die Zugangsdaten in öffentlichen Leaks gestohlener Daten gefunden wurden, und betonte das Fehlen einer Zwei-Faktor-Authentifizierung. Auf die Frage nach ihrer Motivation gaben die Hacker an, dass sie es aus Spaß getan hätten.
Orange Spanien Vorfallsanalyse
Als Reaktion auf den Ausfall von Orange Spanienführte RIPE eine Untersuchung durch, stellte das Konto von Orange wieder her und forderte die Nutzer auf, die Multi-Faktor-Authentifizierung zu aktivieren. RIPE betonte, wie wichtig es ist, Passwörter zu aktualisieren und zusätzliche Sicherheitsmaßnahmenund betonte die Notwendigkeit einer mehrschichtigen Verteidigung gegen Cyber-Bedrohungen.
Angesichts solcher Vorfälle ist es zwingend erforderlich, dass für alle Konten, insbesondere für solche mit kritischem Zugang wie RIPE-Konten, die Multi-Faktor-Authentifizierung aktiviert wird. Diese zusätzliche Sicherheitsebene stellt sicher, dass der unbefugte Zugriff für Bedrohungsakteure erheblich erschwert wird, selbst wenn die Anmeldedaten kompromittiert wurden.
Schlussfolgerung
Die Ausfall von Orange Spanien verdeutlicht die Anfälligkeit kritischer Internetinfrastrukturen und die Bedeutung proaktiver Cybersicherheitsmaßnahmen. Bedrohungsakteure nutzen häufig gestohlene Zugangsdaten, um sich einen ersten Zugang zu Unternehmensnetzwerken zu verschaffen, was zu verschiedenen Cyber-Bedrohungen führt, darunter Datendiebstahl, Spionage und Ransomware-Angriffe.
Implementierung von robuste Cybersicherheit in der Telekommunikationwie RPKI und Multi-Faktor-Authentifizierung, ist von entscheidender Bedeutung für den Schutz vor potenziellen Bedrohungen, um die Widerstandsfähigkeit und Kontinuität von Online-Diensten zu gewährleisten.
Zu den Quellen für diesen Beitrag gehören Artikel in den Hacker-Nachrichten und Bleeping Computer.