ClickCease Panne d'Orange Espagne : Le trafic BGP détourné par un acteur de la menace

Table des matières

Rejoignez notre populaire bulletin d'information

Rejoignez 4 500+ professionnels de Linux et de l'Open Source !

2 fois par mois. Pas de spam.

Panne d'Orange Espagne : Le trafic BGP détourné par un acteur de la menace

Wajahat Raja

Le 19 janvier 2024 - L'équipe d'experts de TuxCare

Lors d'un récent incident de cybersécurité, Orange Espagne a dû faire face à une importante coupure d'internet le 3 janvier, 2024. Un acteur de la menace, connu sous le nom de "Snow", a exploité les vulnérabilités du compte RIPE de l'entreprise. La panne d'Orange Espagne est due à une mauvaise configuration du routage BGP (Border Gateway Protocol) et à la mise en œuvre d'une configuration RPKI (Resource Public Key Infrastructure) invalide.

 

Le détournement du trafic BGP

 

Le routage du trafic sur l'internet repose sur le protocole Border Gateway Protocol (BGP), qui permet aux organisations d'associer leurs adresses IP à des numéros de systèmes autonomes (AS). Ces associations sont ensuite annoncées aux routeurs connectés, appelés pairs, pour former une table de routage. Cette table indique l'itinéraire optimal pour diriger le trafic vers des adresses IP spécifiques.

Cependant, des acteurs malveillants peuvent exploiter la structure de confiance de BGP. En annonçant faussement des plages d'adresses IP associées à un autre numéro d'AS, ils peuvent rediriger le trafic vers des destinations malveillantes. Cloudflare note que BGP repose sur la confiance, en mettant à jour la table de routage sur la base de l'itinéraire le plus court et le plus spécifique fourni par les annonceurs.


Présentation de RPKI : une solution au détournement de BGP

 

Pour contrer le détournement BGP, une solution cryptographique appelée Resource Public Key Infrastructure (RPKI) a été introduite. RPKI associe les annonces d'itinéraires BGP au numéro d'AS d'origine correct. L'activation de RPKI avec un organisme de routage comme ARIN ou RIPE permet à un réseau de certifier cryptographiquement que seuls les routeurs sous leur contrôle peuvent annoncer un numéro d'AS et les adresses IP associées.


Coupure de courant chez Orange Espagne


Le service
interruption de service d'Orange Espagne a eu lieu lorsque l'acteur de la menace "Snow" a compromis le compte RIPE d'Orange Espagne. Après s'être introduit dans le compte, Snow a modifié le numéro d'AS associé aux adresses IP de l'entreprise et a activé une configuration RPKI invalide. En créant de faux enregistrements ROA (Route Origin Authorization), Snow a indiqué qu'un numéro d'AS différent (AS49581) devait annoncer les préfixes d'adresses IP d'Orange Espagne. L'activation de la RPKI sur ces faux enregistrements a perturbé les annonces internet correctes. Cela a entraîné des problèmes notables sur le réseau d problèmes de réseau d'Orange Espagne.


Réponse et rétablissement d'Orange Espagne


Reconnaissance de l'incident de routage
incident de routage BGPOrange Espagne a pris des mesures rapides pour rétablir les services et a confirmé l'accès non autorisé à son compte RIPE. Dans un tweet, l'entreprise a assuré aux utilisateurs qu'aucune donnée client n'avait été compromise à la suite de la panne du fournisseur d'accès à Internet. panne du fournisseur d'accès internetsoulignant l'impact sur la navigation de service uniquement.


Sécurité de l'infrastructure Internet


La méthode utilisée par l'acteur de la menace pour pénétrer dans le compte RIPE reste incertaine. Felipe Cañizares, directeur technique de DMNTR Network Solutions, a émis l'hypothèse qu'Orange Espagne n'avait peut-être pas mis en œuvre l'authentification à deux facteurs sur le compte.


Les informations d'identification compromises par un logiciel malveillant de vol d'informations


Orange Espagne n'a pas divulgué les détails de la panne du réseau de télécommunications.
panne du réseau de télécommunicationsles services de renseignement en matière de cybersécurité ont révélé que la cyberattaque de l'acteur de la menace acteur de la cyberattaqueSnow, a obtenu les informations d'identification du compte par le biais d'un logiciel malveillant de un logiciel malveillant de vol d'informations. Les recherches de Hudson Rock ont permis de remonter jusqu'à un ordinateur infecté le 4 septembre 2023. Les informations compromises, notamment l'adresse électronique ([email protected]) et le mot de passe ("ripeadmin"), ont été trouvées dans une liste de comptes volés par le logiciel malveillant.


Admission et motivation du hacker


M. Snow a confirmé par la suite la facilité avec laquelle ils ont accédé au compte, soulignant la sécurité douteuse du mot de passe. Dans un message publié sur Twitter/X, M. Snow a indiqué avoir trouvé les informations d'identification dans des fuites publiques de données volées, soulignant l'absence d'authentification à deux facteurs. Interrogé sur ses motivations, le pirate a affirmé avoir agi pour le "lulz", c'est-à-dire pour rire.


Analyse des incidents chez Orange Espagne


En réponse à la panne de
Orange Espagnele RIPE a mené une enquête, a rétabli le compte d'Orange et a invité les utilisateurs à activer l'authentification multifactorielle. Le RIPE a souligné l'importance de la mise à jour des mots de passe et de l'activation de mesures de sécurité supplémentairesLe RIPE a souligné l'importance de mettre à jour les mots de passe et d'activer des mesures de sécurité supplémentaires, renforçant la nécessité d'une défense à plusieurs niveaux contre les cyber-menaces.

À la lumière de ces incidents, il devient impératif que tous les comptes, en particulier ceux qui ont un accès critique comme les comptes RIPE, soient dotés d'une authentification multifactorielle. Cette couche de sécurité supplémentaire garantit que même si les informations d'identification sont compromises, l'accès non autorisé devient beaucoup plus difficile pour les acteurs de la menace.


Conclusion


La
panne d'Orange Espagne met en évidence la vulnérabilité des infrastructures internet critiques et l'importance de mesures de cybersécurité proactives. Les acteurs de la menace exploitent souvent des informations d'identification volées pour obtenir un accès initial aux réseaux d'entreprise, ce qui entraîne diverses cybermenaces, notamment le vol de données, l'espionnage et les attaques par ransomware.

Mise en œuvre de robuste cybersécurité dans les télécommunicationsLa mise en œuvre d'une cybersécurité solide dans les télécommunications, telle que RPKI et l'authentification multifactorielle, est essentielle pour se prémunir contre les menaces potentielles et garantir la résilience et la continuité des services en ligne.

Les sources de cet article comprennent des articles dans The Hacker News et Bleeping Computer.

 

Résumé
Panne d'Orange Espagne : Le trafic BGP détourné par un acteur de la menace
Nom de l'article
Panne d'Orange Espagne : Le trafic BGP détourné par un acteur de la menace
Description
Découvrez l'impact de la panne d'Orange Espagne alors qu'un acteur de la menace détourne le trafic BGP. Apprenez-en plus sur la brèche et les étapes d'un rétablissement rapide.
Auteur
Nom de l'éditeur
TuxCare
Logo de l'éditeur

Vous cherchez à automatiser la correction des vulnérabilités sans redémarrage du noyau, temps d'arrêt du système ou fenêtres de maintenance programmées ?

Découvrez le Live Patching avec TuxCare

Devenez rédacteur invité de TuxCare

Commencer

Courrier

Rejoindre

4,500

Professionnels de Linux et de l'Open Source
!

S'abonner à
notre lettre d'information