image

Aanvaller kaapt RIPE-account Orange Spanje en wijzigt netwerkinstellingen

donderdag 4 januari 2024, 10:29 door Redactie, 1 reacties

Een aanvaller is erin geslaagd het RIPE-account van Orange Spanje te kapen en heeft vervolgens verschillende netwerkinstellingen aangepast, waardoor andere netwerken werden losgekoppeld van het Orange-netwerk, wat gevolgen had voor verbindingen en de bereikbaarheid van Orange zelf, alsmede Jazztel en Simyo en hun klanten, zo meldt Spaanse media.

Volgens securitybedrijf Hudson Rock was de computer van een Orange-medewerker besmet geraakt met de Raccoon-malware, die allerlei inloggegevens steelt. Het zou onder andere om het wachtwoord van het RIPE-account gaan, dat 'ripeadmin' zou zijn geweest. Daarnaast zou er geen tweefactorauthenticatie (2FA) voor het account zijn gebruikt.

Het RIPE NCC is één van de vijf Regional Internet Registries (RIR) en verzorgt in haar geografisch werkgebied de coördinatie en uitgifte van ip-adressen en autonomous system (as) nummers aan internetproviders. Nadat de aanvaller het RIPE-account van Orange Spanje had gecompromitteerd wijzigde hij BGP- en RPKI-instellingen. Het Border Gateway Protocol (BGP) wordt gebruikt om verkeer tussen internetproviders te routeren en essentieel is voor de werking van het internet.

BGP werkt door een tabel van ip-netwerken of 'prefixes' bij te houden die de netwerkbereikbaarheid tussen autonome systemen (as) aangeeft. Dit zijn onafhankelijk beheerde netwerken, bijvoorbeeld van internetproviders. Via BGP wordt de meest efficiënte route gezocht voor het routeren van verkeer. Resource Public Key Infrastructure (RPKI) wordt gebruikt voor het beveiligen van BGP en moet het lastiger voor aanvallers maken om verkeerde route-informatie aan het systeem toe te voegen en zo ip-adressen te kapen of internetverkeer om te leiden.

De aanvaller die het RIPE-account kaapte wijzigde het as-nummer van Orange Spanje en voerde een ongeldige RPKI-configuratie door, waardoor ip-adressen van de provider niet meer goed werden aangekondigd, wat weer gevolgen voor de bereikbaarheid had. Zo laat een gebruiker op Hacker News weten dat hij door de aanval websites zoals GitHub, X, Hacker News, Canva en DuckDuckGo niet meer kon bereiken. Na een aantal uur was het probleem verholpen.

In verschillende berichten op X bevestigt Orange de inbraak op het RIPE-account en dat dit voor problemen met de bereikbaarheid zorgde. Gegevens van klanten zouden niet in het geding zijn geweest. Iemand op X claimt verantwoordelijkheid voor de aanval en stelt dat Orange hem kan benaderen voor nieuwe inloggegevens.

Reacties (1)
04-01-2024, 10:45 door Anoniem
In bepaald opzicht wel positief nieuws - er blijkt uit *dat* rPKI ook echt gebruikt wordt .
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.