Apagón en Orange España: Tráfico BGP secuestrado por un agente de amenazas
En un reciente incidente de ciberseguridad, Orange España se enfrentó a un importante corte de Internet el 3 de enero, 2024. Un actor de amenazas, conocido con el nombre de "Snow", explotó las vulnerabilidades de la cuenta RIPE de la empresa. El sitio interrupción de Orange España se debió a una configuración incorrecta del enrutamiento del Protocolo de Pasarela Fronteriza (BGP) y a la implementación de una configuración no válida de la Infraestructura de Clave Pública de Recursos (RPKI).
El secuestro del tráfico BGP
El enrutamiento del tráfico de Internet se basa en el Protocolo de Pasarela Fronteriza (BGP), que permite a las organizaciones asociar sus direcciones IP con números de sistema autónomo (AS). Estas asociaciones se anuncian a los routers conectados, conocidos como peers, formando una tabla de enrutamiento. Esta tabla guía la ruta óptima para dirigir el tráfico a direcciones IP específicas.
Sin embargo, los actores maliciosos pueden explotar la estructura basada en la confianza de BGP. Anunciando falsamente rangos de IP asociados a otro número de AS, pueden redirigir el tráfico a destinos maliciosos. Cloudflare señala que BGP se basa en la confianza, actualizando la tabla de enrutamiento en función de la ruta más corta y específica proporcionada por los anunciantes.
RPKI: una solución al secuestro de BGP
Para contrarrestar el secuestro de BGP, se introdujo una solución criptográfica denominada Infraestructura de Clave Pública de Recursos (RPKI). RPKI asocia los anuncios de rutas BGP con el número de AS de origen correcto. Habilitar RPKI con un organismo de enrutamiento como ARIN o RIPE permite a una red certificar criptográficamente que sólo los enrutadores bajo su control pueden anunciar un número de AS y sus direcciones IP asociadas.
Apagón en Orange España
En interrupción del servicio de Orange España se produjo cuando el actor de amenazas "Snow" comprometió la cuenta RIPE de Orange España. Tras acceder a la cuenta, Snow modificó el número de AS asociado a las direcciones IP de la empresa y habilitó una configuración RPKI no válida. Mediante la creación de falsos registros de Autorización de Origen de Ruta (ROA), Snow indicó que un número de AS diferente (AS49581) debería anunciar los prefijos de direcciones IP de Orange España. La activación de RPKI en estos registros falsos interrumpió los anuncios correctos de Internet. Esto provocó problemas en la red de Orange España.
Respuesta y recuperación de Orange España
Acuse de recibo de la incidente de enrutamiento BGPOrange España tomó medidas rápidas para restablecer los servicios y confirmó el acceso no autorizado a su cuenta RIPE. En un tuit, la compañía aseguró a los usuarios que ningún dato de sus clientes se vio comprometido como resultado de la caída del proveedor de internethaciendo hincapié únicamente en la afectación a la navegación por el servicio.
Seguridad de las infraestructuras de Internet
El método a través del cual el actor de la amenaza accedió a la cuenta de RIPE sigue siendo incierto. Felipe Cañizares, director de tecnología de DMNTR Network Solutions, especuló con la posibilidad de que Orange España no hubiera implementado la autenticación de doble factor en la cuenta.
Credenciales comprometidas por malware de robo de información
Aunque Orange España no desveló los detalles concretos de la interrupción de la red de telecomunicacionesla inteligencia de ciberseguridad reveló que el ciberatacanteSnow, obtuvo las credenciales de la cuenta a través de malware de robo de información. La investigación de Hudson Rock rastreó el compromiso hasta un ordenador infectado el 4 de septiembre de 2023. Las credenciales comprometidas, incluida la dirección de correo electrónico ([email protected]) y la contraseña ('ripeadmin'), se encontraron en una lista de cuentas robadas por el malware.
Admisión y motivación del hacker
Snow confirmó posteriormente la facilidad con la que accedieron a la cuenta, destacando la cuestionable seguridad de las contraseñas. En un post en Twitter/X, Snow mencionó haber encontrado las credenciales en filtraciones públicas de datos robados, haciendo hincapié en la ausencia de autenticación de dos factores. Cuando se le preguntó por su motivación, el hacker afirmó haberlo hecho por "lulz" o reírse.
Análisis de incidentes en Orange España
En respuesta al Orange EspañaRIPE llevó a cabo una investigación, restauró la cuenta de Orange e instó a los usuarios a activar la autenticación multifactor. RIPE hizo hincapié en la importancia de actualizar las contraseñas y habilitar medidas de seguridad adicionalesreforzando la necesidad de una defensa multicapa contra las ciberamenazas.
A la luz de este tipo de incidentes, se hace imperativo que todas las cuentas, especialmente aquellas con acceso crítico como las cuentas RIPE, tengan activada la autenticación multifactor. Esta capa adicional de seguridad garantiza que, incluso si las credenciales se ven comprometidas, el acceso no autorizado sea mucho más difícil para las amenazas.
Conclusión
En interrupción de Orange España pone de manifiesto la vulnerabilidad de las infraestructuras críticas de Internet y la importancia de adoptar medidas proactivas de ciberseguridad. Los actores de amenazas suelen explotar credenciales robadas para obtener acceso inicial a las redes corporativas, lo que da lugar a diversas ciberamenazas, como el robo de datos, el espionaje y los ataques de ransomware.
Implementación de sólida ciberseguridad en las telecomunicacionescomo la RPKI y la autenticación multifactor, es crucial para protegerse de posibles amenazas y garantizar la resistencia y continuidad de los servicios en línea.
Las fuentes de este artículo incluyen artículos en The Hacker News y Bleeping Computer.