1月5日，國際電信巨頭Orange的西班牙公司日前遭遇互聯網中斷，原因是黑客入侵了該公司的RIPE賬戶，篡改了邊界網關協議（BGP）路由和資源公鑰基礎設施（RPKI）配置。

Orange西班牙是西班牙最大的移動運營商之一，此次網絡中斷大約持續了3個小時。

BGP協議負責處理互聯網上的流量路由，允許組織將IP地址與自治系統（AS）編號關聯，并向這些編號連接的其他路由器（也稱作對等路由器）推送廣播。這些BGP廣播構成了一張路由表，傳播到互聯網上所有其他邊緣路由器。根據這張路由表，網絡可以找到將流量發送到特定IP地址的最佳路由。

然而，惡意網絡會宣告與其他自治系統編號重合的IP地址范圍，從而使攻擊者有可能劫持這些IP地址，將流量重定向到惡意網站或惡意網絡。

Cloudflare表示，上述攻擊完全可行，這是因為BGP協議建立在信任基礎之上，路由表會根據擁有最短和更具體路由的廣播方而更新。

為了防止上述攻擊，新標準RPKI被引入，提供防止BGP協議劫持的加密解決方案。Cloudflare發文稱，“RPKI是一種用于簽署記錄的加密方法，將BGP路由公告與正確的發起自治系統的號碼關聯起來?！?/p>

通過在美洲互聯網號碼注冊管理機構ARIN、歐洲IP網絡資源協調中心RIPE等路由機構啟用RPKI，網絡可以通過加密形式證明，只有他們控制的路由器才能宣告對應的自治系統編號及其關聯IP地址。

黑客入侵RIPE賬戶，破壞BGP協議

此前，一名昵稱為Snow的威脅行為者入侵了Orange西班牙的RIPE賬戶，并在推特上發貼要求該公司與他聯系，以獲取新的憑證。

此后，攻擊者修改了公司IP地址關聯的自治系統編號，并啟用了無效的RPKI配置。

攻擊者宣布的IP地址屬于其他組織的自治系統編號，啟用RPKI協議會導致公司IP地址無法在互聯網上正常公告。

DMNTR網絡解決方案公司的首席技術官Felipe Ca?izares表示：“我們發現，他們創建了一些路由起源授權（ROA）/12記錄，這些記錄基本上說明了誰是前綴的授權者（即可以公告它的自治系統）。這些記錄將Orange西班牙公告的/22和/24前綴分組在一起，說明公告前綴的自治系統應該是AS49581（Ferdinand Zink trading as Tube-Hosting公司）。完成這一步之后，他們在/12記錄上啟用了RPKI……攻擊就大功告成了?！?/p>

根據Cloudflare提供的AS12479流量監控圖，Orange西班牙在UTC時間14:45至16:15之間出現了性能問題。

Orange西班牙已經確認，他們的RIPE賬戶遭到了入侵，并已開始恢復服務。

該公司在推特發帖表示，“注意：Orange在RIPE的帳戶遭到了不當訪問，部分客戶的瀏覽受到影響。服務已基本恢復。我們確認，客戶的數據在任何情況下都沒有受到影響，受影響的只是部分服務的瀏覽功能?！?/p>

目前尚不清楚威脅行為者是如何入侵RIPE賬戶的，但Ca?izares告訴外媒BleepingComputer，他認為Orange西班牙沒有在RIPE帳戶上啟用雙因素身份驗證。

Ca?izares在推特上創建了一條話題，總結這次攻擊的發生情況。

BleepingComputer試圖與Orange西班牙聯系，了解有關攻擊的問題，但目前尚未收到回復。

憑據很可能是通過惡意軟件竊取的

盡管Orange西班牙尚未透露其RIPE賬戶是如何被入侵的，但威脅行為者在推特發布截圖提供了一條線索：被黑賬戶的電子郵件地址。

網絡安全情報公司Hudson Rock的員工Alon Gal告訴BleepingComputer，他在信息竊取惡意軟件竊取的賬戶列表中找到了這個電子郵件地址和RIPE賬戶的關聯密碼。

Hudson Rock的研究表明，“Orange西班牙員工的計算機于2023年9月4日被一種類似Raccoon的信息竊取惡意軟件感染。在這臺計算機上識別出了企業憑證，該員工持有部分憑證，并使用威脅行為者透露的電子郵件地址（adminripe-ipnt@orange.es）登錄了https://access.ripe.net?！?/p>

Alon Gal稱，該帳戶密碼是ripeadmin。對于如此關鍵的賬戶來說，這條密碼過于簡單。

黑客Snow后來確認了Hudson Rock的研究結果，并在推特上表示他正是從公開泄露的被竊取數據中找到了這個賬戶。

Snow在推特發帖說，“很多人想知道我如何獲取了這個賬戶的訪問權，我只想說，密碼安全性非常值得質疑。我只是在尋找泄漏的機器數據，偶然發現了RIPE賬戶，密碼是ripeadmin。沒有雙重身份驗證，毫無社交工程學（SE）措施。”

當被問及為什么要黑入該賬戶，黑客表示是為了“找樂子”。

RIPE也對此事件展開調查，表示他們已恢復了Orange西班牙的帳戶，并建議用戶啟用多因素認證。

RIPE在關于此次違規事件的頁面上發帖，“我們鼓勵賬戶持有者更新密碼并為賬戶啟用多因素認證。如果您懷疑賬戶可能受到影響，請向security@ripe.net報告。”

及時掌握網絡安全態勢 盡在傻蛋網絡安全監測系統

【網絡安全監管部門】免費試用

本文來源:互聯網

如涉及侵權，請及時與我們聯系，我們會在第一時間刪除或處理侵權內容。
電話：400-869-9193 負責人：張明