En un desafortunado evento, Orange España, el segundo operador de telefonía móvil más grande de España, experimentó una importante interrupción el miércoles pasado después de que un tercero obtuviera acceso a una contraseña "ridículamente débil" y la utilizara para acceder a una cuenta que administra la tabla de enrutamiento global de la compañía, controlando qué redes entregan el tráfico de Internet de la empresa, según informaron los investigadores.
El secuestro comenzó alrededor de las 9:28 UTC cuando el tercero inició sesión en la cuenta RIPE NCC de Orange utilizando la contraseña "ripeadmin" (sin las comillas). El RIPE Network Coordination Center es uno de los cinco Registros de Internet Regionales, responsables de gestionar y asignar direcciones IP a proveedores de servicios de Internet, organizaciones de telecomunicaciones y empresas que gestionan su propia infraestructura de red. RIPE presta servicios a 75 países en Europa, Oriente Medio y Asia Central.
La contraseña se hizo pública después de que el tercero, que utiliza el seudónimo Snow, publicara una imagen en las redes sociales que mostraba la dirección de correo electrónico orange.es asociada a la cuenta RIPE. RIPE afirmó estar trabajando en formas de reforzar la seguridad de las cuentas. La firma de seguridad Hudson Rock ingresó la dirección de correo electrónico en una base de datos que mantiene para rastrear credenciales en venta en foros en línea. En una publicación, la firma de seguridad señaló que el nombre de usuario y la contraseña "ridículamente débil" fueron recolectados por un malware que había estado instalado en una computadora de Orange desde septiembre. La contraseña estaba disponible para su venta en un mercado de robo de información.
El investigador Kevin Beaumont afirmó que miles de credenciales que protegen otras cuentas de RIPE también están disponibles en tales mercados.
Ataque
Una vez dentro de la cuenta RIPE de Orange, Snow realizó cambios en la tabla de enrutamiento global en la que el operador móvil confía para especificar qué proveedores de infraestructura están autorizados a llevar su tráfico a varias partes del mundo. Estas tablas se gestionan mediante el Protocolo de Puerta de Enlace Fronteriza (BGP), que conecta una red regional con el resto de Internet. Snow agregó varias nuevas Autorizaciones de Origen de Ruta (ROA, por sus siglas en inglés). Estas entradas permiten a "sistemas autónomos", como el AS12479 de Orange, designar otros sistemas autónomos o grandes bloques de direcciones IP para entregar su tráfico a diversas regiones del mundo.
En la etapa inicial, los cambios no tuvieron un efecto significativo porque las ROAs que Snow agregó anunciando las direcciones IP: 93.117.88.0/22 y 93.117.88.0/21, y 149.74.0.0/16 ya tenían origen en el AS12479 de Orange. Minutos después, Snow agregó ROAs a cinco rutas adicionales. Todas, excepto una, también tenían origen en el AS de Orange y, nuevamente, no tuvieron efecto en el tráfico, según un detallado informe del evento realizado por Doug Madory, un experto en BGP de la firma de seguridad y redes Kentik.
La creación de la ROA para 149.74.0.0/16 fue el primer acto de Snow para crear problemas, ya que la longitud máxima de prefijo se estableció en 16, invalidando cualquier ruta más específica (longitud de prefijo mayor) que utilice el rango de direcciones.
Situación irónica
Irónicamente, el propósito de RPKI es prevenir el secuestro de rutas, una ocurrencia demasiado común en la que una parte publica intencional o erróneamente ROAs que enrutan el tráfico a través de rangos de direcciones IP no autorizados, a veces representando amenazas graves para la estabilidad de Internet y, potencialmente, para la seguridad nacional. En este caso, Snow había convertido esta protección en una herramienta de denegación de servicio para los suscriptores de Orange.
La manipulación desenfocada y, en ocasiones, ineficaz de Snow con las rutas de Orange hace que el objetivo final del secuestro no esté claro. Inicialmente, se publicaron ROAs que tenían poco o ningún efecto en absoluto. Incluso cuando Snow publicó ROAs más destructivas a partir de las 14:00 UTC, el efecto fue más limitado de lo que podría haber sido, ya que eliminó aproximadamente el 20% de las 9,200 rutas de Orange.
Al parecer, al principio, esta persona estaba viendo qué podía hacer sin causar daño. Luego, intentaron cambiar los orígenes de algunas rutas para ver si podían causar alguna interrupción.
Ausencia de medidas de seguridad
Además de subrayar la fragilidad continua de BGP, el incidente expone una preocupante falta de prácticas de seguridad en Orange. Por un lado, un software de robo de información instalado en la computadora de un empleado que pasó desapercibido durante cuatro meses.
Por otro lado, el uso de una contraseña débil y la falta de autenticación multifactor para proteger una cuenta en un Registro de Internet Regional como RIPE. Todas son omisiones inexpertas que nunca deberían haber sido posibles en una organización con el alcance de Orange. También preocupa que, hasta el miércoles, la cuenta RIPE de Orange nunca se configuró para rastrear la creación de nuevas ROAs, una omisión que dificultó el seguimiento de los anuncios de rutas.
Un problema de configuración expuso las contraseñas de millones de cultivadores de marihuana