前情回顾·身份攻击成热点

安全内参1月5日消息,国际电信巨头Orange的西班牙公司日前遭遇互联网中断,原因是黑客入侵了该公司的RIPE账户,篡改了边界网关协议(BGP)路由和资源公钥基础设施(RPKI)配置。

Orange西班牙是西班牙最大的移动运营商之一,此次网络中断大约持续了3个小时。

BGP协议负责处理互联网上的流量路由,允许组织将IP地址与自治系统(AS)编号关联,并向这些编号连接的其他路由器(也称作对等路由器)推送广播。这些BGP广播构成了一张路由表,传播到互联网上所有其他边缘路由器。根据这张路由表,网络可以找到将流量发送到特定IP地址的最佳路由。

然而,恶意网络会宣告与其他自治系统编号重合的IP地址范围,从而使攻击者有可能劫持这些IP地址,将流量重定向到恶意网站或恶意网络。

Cloudflare表示,上述攻击完全可行,这是因为BGP协议建立在信任基础之上,路由表会根据拥有最短和更具体路由的广播方而更新。

为了防止上述攻击,新标准RPKI被引入,提供防止BGP协议劫持的加密解决方案。Cloudflare发文称,“RPKI是一种用于签署记录的加密方法,将BGP路由公告与正确的发起自治系统的号码关联起来。”

通过在美洲互联网号码注册管理机构ARIN、欧洲IP网络资源协调中心RIPE等路由机构启用RPKI,网络可以通过加密形式证明,只有他们控制的路由器才能宣告对应的自治系统编号及其关联IP地址。

黑客入侵RIPE账户,破坏BGP协议

昨天,一名昵称为Snow的威胁行为者入侵了Orange西班牙的RIPE账户,并在推特上发贴要求该公司与他联系,以获取新的凭证。

此后,攻击者修改了公司IP地址关联的自治系统编号,并启用了无效的RPKI配置。

攻击者宣布的IP地址属于其他组织的自治系统编号,启用RPKI协议会导致公司IP地址无法在互联网上正常公告。

DMNTR网络解决方案公司的首席技术官Felipe Cañizares表示:“我们发现,他们创建了一些路由起源授权(ROA)/12记录,这些记录基本上说明了谁是前缀的授权者(即可以公告它的自治系统)。这些记录将Orange西班牙公告的/22和/24前缀分组在一起,说明公告前缀的自治系统应该是AS49581(Ferdinand Zink trading as Tube-Hosting公司)。完成这一步之后,他们在/12记录上启用了RPKI……攻击就大功告成了。”

图:在已公告的IP地址上实施无效的RPKI

根据Cloudflare提供的AS12479流量监控图,Orange西班牙在UTC时间14:45至16:15之间出现了性能问题。

图:Orange西班牙的AS12479流量图

Orange西班牙已经确认,他们的RIPE账户遭到了入侵,并已开始恢复服务。

该公司在推特发帖表示,“注意:Orange在RIPE的帐户遭到了不当访问,部分客户的浏览受到影响。服务已基本恢复。我们确认,客户的数据在任何情况下都没有受到影响,受影响的只是部分服务的浏览功能。”

目前尚不清楚威胁行为者是如何入侵RIPE账户的,但Cañizares告诉外媒BleepingComputer,他认为Orange西班牙没有在RIPE帐户上启用双因素身份验证。

Cañizares在推特上创建了一条话题,总结这次攻击的发生情况。

BleepingComputer试图与Orange西班牙联系,了解有关攻击的问题,但目前尚未收到回复。

凭据很可能是通过恶意软件窃取的

尽管Orange西班牙尚未透露其RIPE账户是如何被入侵的,但威胁行为者在推特发布截图提供了一条线索:被黑账户的电子邮件地址。

网络安全情报公司Hudson Rock的员工Alon Gal告诉BleepingComputer,他在信息窃取恶意软件窃取的账户列表中找到了这个电子邮件地址和RIPE账户的关联密码。

Hudson Rock的研究表明,“Orange西班牙员工的计算机于2023年9月4日被一种类似Raccoon的信息窃取恶意软件感染。在这台计算机上识别出了企业凭证,该员工持有部分凭证,并使用威胁行为者透露的电子邮件地址(adminripe-ipnt@orange.es)登录了https://access.ripe.net。”

Alon Gal称,该帐户密码是ripeadmin。对于如此关键的账户来说,这条密码过于简单。

黑客Snow后来确认了Hudson Rock的研究结果,并在推特上表示他正是从公开泄露的被窃取数据中找到了这个账户。

Snow在推特发帖说,“很多人想知道我如何获取了这个账户的访问权,我只想说,密码安全性非常值得质疑。我只是在寻找泄漏的机器数据,偶然发现了RIPE账户,密码是ripeadmin。没有双重身份验证,毫无社交工程学(SE)措施。”

当被问及为什么要黑入该账户,黑客表示是为了“找乐子”。

RIPE也对此事件展开调查,表示他们已恢复了Orange西班牙的帐户,并建议用户启用多因素认证。

RIPE在关于此次违规事件的页面上发帖,“我们鼓励账户持有者更新密码并为账户启用多因素认证。如果您怀疑账户可能受到影响,请向security@ripe.net报告。”

信息窃取恶意软件已成为企业的心腹大患。威胁行为者利用这些软件可以收集凭证,获得进入企业网络的初始访问权限。威胁行为者通常从网络犯罪市场购买被盗的凭证,然后用这些凭证侵入网络,进行数据窃取、网络间谍活动和勒索软件攻击。因此,所有账户都必须启用双因素或多因素认证。这样,即使账户被盗,攻击者也无法登录账户。

参考资料:https://www.bleepingcomputer.com/news/security/hacker-hijacks-orange-spain-ripe-account-to-cause-bgp-havoc/

声明:本文来自安全内参,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。