The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Компрометация учётной записи привела к сбою BGP-маршрутизации Orange Espagne

06.01.2024 12:29

Компрометация учётной записи администратора привела к почти четырёхчасовому сбою в работе второго по величине испанского оператора связи Orange Espagne, обслуживающего 11 млн абонентов. Для доступа к интерфейсу регистратора RIPE NCC в Orange Espagne применялся предсказуемый пароль "ripeadmin" и не была включена двухфакторная аутентификация.

Пароль к RIPE был перехвачен в ходе поражения системы одного из сотрудников вредоносным ПО и с сентября находился в продаваемых на чёрном рынке базах скомпрометированных паролей. Примечательно, что кроме учётной записи Orange Espagne в указанных базах присутствуют и тысячи других аккаунтов для подключения к access.ripe.net, которые потенциально можно использовать для совершения подобных атак.

Инцидент оставался незамеченным до 2 января, пока какой-то злоумышленник не зашёл в web-интерфейс RIPE NCC и не внёс изменения в настройки BGP и RPKI (Resource Public Key Infrastructure), после чего в течение почти четырёх часов была нарушена маршрутизация примерно половины трафика оператора связи. Действия атакующих привели к тому, что технология RPKI, призванная защитить BGP-анонсы от подделки, была задействована для блокирования легитимных анонсов.

Злоумышленник создал несколько новых записей RPKI ROA (Route Origin Authorization), среди которых оказались записи привязывающие крупные блоки адресов Orange Espagne к чужой автономной системе, что привело к тому, что корректные BGP-анонсы от автономной системы данного оператора стали блокироваться на маршрутизаторах многих магистральных операторов. В итоге, число привязанных к Orange Espagne BGP-маршрутов сократилось с 9200 до 7400 , а трафик просел почти в два раза.

RPKI (Resource Public Key Infrastructure) применяется для авторизации BGP-анонсов и позволяет определить исходит ли BGP-анонс от владельца сети или нет. При использовании RPKI для автономных систем и IP-адресов строится цепочка доверия от IANA к региональным регистраторам (RIRs), а затем к провайдерам (LIR) и конечным потребителям, которая позволяет третьим лицам удостовериться, что операция с ресурсом была произведена его владельцем. Без применения авторизации любой оператор может анонсировать подсеть с фиктивными сведениями о длине маршрута и инициировать транзит через себя части трафика от других систем, не применяющих фильтрацию анонсов.

  1. Главная ссылка к новости (https://arstechnica.com/securi...)
  2. OpenNews: Cloudflare запустил сервис для отслеживания фильтрации некорректных маршрутов BGP
  3. OpenNews: Проект OpenBSD представил первый переносимый выпуск rpki-client
  4. OpenNews: Утечка BGP-маршрута в Ростелекоме привела к нарушению связности крупнейших сетей
  5. OpenNews: Утечка BGP-маршрутов привела к массовому нарушению связности в интернете
  6. OpenNews: Зафиксировано перенаправление трафика крупнейших финансовых сервисов через BGP
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/60396-bgp
Ключевые слова: bgp, rpki
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (67) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (1), 13:59, 06/01/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • –6 +/
    Модные медведи, не иначе.
     
  • 1.6, а што не так (?), 15:03, 06/01/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +6 +/
    Наверное в этой компании все так же как на опеннете боятся TOTP и FIDO.
     
     
  • 2.21, Аноним (21), 19:31, 06/01/2024 [^] [^^] [^^^] [ответить]  
  • –2 +/
    У меня TOTP3 включен всезде где только можно, а где нельзя не пользуюсь таким сервисом.
     
  • 2.41, Аноним (41), 01:07, 07/01/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Наверное в этой компании все так же как на опеннете боятся TOTP и FIDO.

    Зато компроментации инфраструктуры не боятся. Мужики!

     
  • 2.42, penetrator (?), 02:55, 07/01/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > обслуживающего 11 млн абонентов
    > применялся предсказуемый пароль "ripeadmin"

    тебе не кажется что кто-то идиот? и от идиота надо не 2FA использовать, а менять кадровую политику компании

     
     
  • 3.70, Аноним (41), 14:50, 07/01/2024 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > тебе не кажется что кто-то идиот?

    Да, кажется. Читаем новость;

    > Пароль к RIPE был перехвачен в ходе поражения системы одного из сотрудников вредоносным ПО

    Черным по белому же написано, что проблема не в сложности пароля. Это так сложно: прочитать новость, прежде чем строчить комментарии?

     
     
  • 4.79, Аноним (79), 17:45, 07/01/2024 [^] [^^] [^^^] [ответить]  
  • –2 +/
    А в чём заключается полезность вашего комментария? Или у вас при упоминании 2FA какие-то комплексы?
    Вам про "кадровую политику компании", а вы про "перехват  вредоносным ПО"
    Новости вы читать умеете, да. Теперь научитесь читать комментарии.
     
     
  • 5.83, Аноним (41), 20:06, 07/01/2024 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Вам про "кадровую политику компании", а вы про "перехват  вредоносным ПО"

    Кадровая политика спасает от возможности подхватить вредоносное ПО? Типа вредоносное хватают только идиоты, и есть объективные критерии/тесты при найме нового сотрудника, гарантирующие, что он никогда не ошибется?

    Вы что сказать-то хотели?

     
     
  • 6.88, anonymous (??), 04:04, 08/01/2024 [^] [^^] [^^^] [ответить]  
  • –3 +/
    >Кадровая политика спасает от возможности подхватить вредоносное ПО?

    Да!

    >Типа вредоносное хватают только идиоты, и есть объективные критерии/тесты при найме нового сотрудника, гарантирующие, что он никогда не ошибется?

    Вы не поверите.

     
  • 4.89, penetrator (?), 21:01, 08/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    >> тебе не кажется что кто-то идиот?
    > Да, кажется. Читаем новость;
    >> Пароль к RIPE был перехвачен в ходе поражения системы одного из сотрудников вредоносным ПО
    > Черным по белому же написано, что проблема не в сложности пароля. Это
    > так сложно: прочитать новость, прежде чем строчить комментарии?

    ну да написано? и вывод какой? админы у большой компании умные и бюджет распределен верно, пользователи не пострадают ни при каких обстоятельствах? видишь ли в моем коментарии тоже черным по белому написано

     
  • 2.59, Аноним (59), 14:07, 07/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    О, точно, пусть эти лузеры возвращаются на FIDO.
     
     
  • 3.90, анон (?), 09:36, 09/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > возвращаются на FIDO.

    Кажется вы путаете древний FidoNet и относительно свежий FIDO ("Fast IDentity Online")

     

  • 1.7, commiethebeastie (ok), 15:04, 06/01/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Просто у него хост для putty.exe использовался.
     
  • 1.8, EuPhobos (ok), 15:07, 06/01/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • –3 +/
    А всё виной тому дырявый BGP с костылями в виде RPKI.
     
     
  • 2.16, Аноним (16), 17:01, 06/01/2024 [^] [^^] [^^^] [ответить]  
  • –2 +/
    А как же сишечка?
     
  • 2.22, Аноним (21), 19:31, 06/01/2024 [^] [^^] [^^^] [ответить]  
  • –4 +/
    Виновные те кто не меняют пароли по пол года и хранят в браузере.
     
     
  • 3.23, EuPhobos (ok), 19:34, 06/01/2024 [^] [^^] [^^^] [ответить]  
  • –4 +/
    Причём тут пароли, если ".. любой оператор может анонсировать подсеть с фиктивными сведениями о длине маршрута и инициировать транзит через себя части трафика от других систем, не применяющих фильтрацию анонсов. "
     
     
  • 4.56, Tron is Whistling (?), 13:46, 07/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Крупных операторов, применяющих фильтрацию анонсов всерьёз, ныне реально не так велико, кстати.
    Из-за роста объёма маршрутной информации, умножающегося на то, что качество маршрутных данных в базах RIR упало ниже плинтуса. Даже у крупняка наблюдаются очень жёсткие косяки в опубликованных политиках, править весь вот этот вот безумный объём вручную - очень сложно.
     
     
  • 5.57, Tron is Whistling (?), 13:46, 07/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    // число крупных операторов
     
  • 3.54, борман (?), 12:41, 07/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Для таких юбикеи изобрели
     

  • 1.20, Аноним (21), 19:03, 06/01/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • –4 +/
    Моё предыдущий комментарий потерли вместе с верхним, но повторюсь 1 Там в прин... большой текст свёрнут, показать
     
     
  • 2.29, Аноним (1), 20:08, 06/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Ну иди поруководи, если такой умный. Спасись сам и вокруг тебя спасутся миллионы.
     
     
  • 3.65, Аноним (65), 14:23, 07/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Для меня идти в найм это понизить свой уровень дохода и качество жизни.
     
  • 2.30, Аноним (30), 20:11, 06/01/2024 [^] [^^] [^^^] [ответить]  
  • +3 +/
    смена паролей- путь к утечке
     
     
  • 3.60, Аноним (65), 14:09, 07/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Интересная логика, развей мысль.
     
  • 3.66, Аноним (65), 14:26, 07/01/2024 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Либо это троллинг, либо не знаю что.
    Если бы утекший пароль был сменен раз в пол года, то ничего бы этого не произошло.
     
  • 2.61, Аноним (65), 14:10, 07/01/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Заминусовали явно те кто хранят  пароли в таблицах экселе и браузерах.
     
     
  • 3.67, dannyD (?), 14:40, 07/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    это же удобно!

    и запоминать не надо!

    а ведь пароль такой сложный )))

     
     
  • 4.71, Аноним (71), 15:26, 07/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    А зачем его запоминать, в браузере же сохранен.
     
  • 2.78, Аноним (-), 17:42, 07/01/2024 Скрыто ботом-модератором     [к модератору]
  • +/
     

  • 1.28, Аноним (28), 20:04, 06/01/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    >перехвачен в ходе поражения системы одного из сотрудников вредоносным ПО

    Ргру с торрентов что-ли поиграл? У работника с таким доступом нет денег на отдельный физический компьютер для игр, и отдельный - для работы?

     
     
  • 2.33, Аноним (33), 21:28, 06/01/2024 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Скорее всего, старая винда со старым браузером, потому что "работаеть - не трожь".
     
     
  • 3.68, dannyD (?), 14:42, 07/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    да только винда это пароль и знала.

    поэтому - не трожь".

     
  • 2.50, Аноним (79), 10:29, 07/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > " У работника с таким доступом нет денег на отдельный физический компьютер для игр, и отдельный - для работы"

    Очевидно что нет, так как эту часть ЗП забирают себе эффективные менеджеры.

     
  • 2.62, Аноним (65), 14:12, 07/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Не обязательно же игру, письмо какое-нибудь открыл.
     

  • 1.31, Одмин дома (?), 21:25, 06/01/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Что мешает недовольному зарплатой сотруднику сделать вид, что его похукали, продав заведомо несекьюрные учётные данные дяде васе из даркнета?
     
     
  • 2.35, Аноним (35), 22:54, 06/01/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Потенциальные проблемы со следующим трудоустройством, хотя об этом не все подобные деятели догадываются
     
     
  • 3.48, Аноним (79), 10:23, 07/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Это в случае если дело было замечено.
     
  • 2.36, Аноним (36), 23:21, 06/01/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    если недоволен своей з/п - либо проси больше, либо ищи другую работу.
     
     
  • 3.49, Аноним (79), 10:24, 07/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Почему сразу искать другую работу? Можно же дополнительно монетанезировать свою рабочую деятельность?
     
     
  • 4.51, КриоМух (?), 10:56, 07/01/2024 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Честь превыше прибыли
     
  • 4.63, Аноним (65), 14:14, 07/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    >дополнительно монетанезировать

    За это могут уволить по статье или посадить.

     
  • 4.87, Аноним (65), 02:22, 08/01/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Таких не лояльных сотрудников должны отклонить еще на этапе найма кадровики и безопасники.
     
  • 2.38, Аноним (38), 00:10, 07/01/2024 [^] [^^] [^^^] [ответить]  
  • –1 +/
    От мудакa на ключевой позиции защиты нет. Это проблема не техническая.
     
     
  • 3.69, dannyD (?), 14:43, 07/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    >>мудакa на ключевой позиции

    а бывает иначе?

     
     
  • 4.81, Аноним (81), 18:06, 07/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Бывает. Кому в жизни такое не встречалось — соболезную, чего уж.
     
     
  • 5.86, dannyD (?), 21:38, 07/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    - говорят ты искал идеальную женщину? и как? нашёл?
    - да, нашел, но она искала идеального мужчину.
     
  • 3.76, Аноним (71), 16:33, 07/01/2024 [^] [^^] [^^^] [ответить]  
  • –1 +/
    У менеджера одна цель, приносить прибыль совету директоров и акционерам, а не нянчиться и утирать сопли айтишникам.
     
     
  • 4.80, Аноним (81), 18:05, 07/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Вы пробовали на самом деле приносить прибыль? Придётся и няньчиться, и утирать сопли, и делать ещё миллион вещей.
     
     
  • 5.82, Аноним (71), 18:38, 07/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    >Вы пробовали

    Б-же упаси. Обычно мне приносят на блюдечке с голубой каемочкой.

     

  • 1.37, Кхекхе (?), 23:29, 06/01/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Думаете в орандже админы сами себе пароль выбирают?
     
     
  • 2.64, Аноним (65), 14:16, 07/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Ты думаешь у них есть разделение на сетевых инженеров, системных администраторов, безопасников?
     

  • 1.39, Аноним (39), 00:55, 07/01/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    >доступа к интерфейсу регистратора RIPE NCC
    >по паролю
    >PKI

    Они PKI с KPI не перепутали?

     
  • 1.40, Аноним (41), 01:03, 07/01/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > применялся предсказуемый пароль "ripeadmin" и не была включена двухфакторная аутентификация.

    Запасся попкорном и жду появления "нах." и других именитых экспертов с продолжением цирка из недавней темы о PyPi [1] про то, что двуфакторная утентификация не нужна.

    1: https://www.opennet.ru/opennews/art.shtml?num=60382

     
     
  • 2.43, penetrator (?), 03:06, 07/01/2024 Скрыто ботом-модератором     [к модератору]
  • +/
     
     
  • 3.55, Аноним (55), 13:34, 07/01/2024 Скрыто ботом-модератором     [к модератору]
  • +1 +/
     
  • 2.44, КО (?), 05:28, 07/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Дополнительная дырень? Конечно нет
     
     
  • 3.52, Аноним (41), 11:05, 07/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > Дополнительная дырень?

    И как именно 2FA работает в качестве дополнительной дырени?

     
  • 2.45, Аноним (45), 09:01, 07/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > "двуфакторная утентификация не нужна."

    Она не нужна, нужен мозг чтобы не ставить пароль "ripeadmin" и ссылаться на это в качестве якобы "аргумента".

     
     
  • 3.47, Аноним (47), 09:43, 07/01/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Пароль был перехвачен.
     
     
  • 4.53, Аноним (41), 11:08, 07/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Да ну - зачем читать новость, если можно сразу ринутся в комментарии со своей экспертизой?
     
     
  • 5.72, Аноним (79), 15:59, 07/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    зачем читать комментарий, если можно сразу ринутся в комментарии со своей экспертизой?
     
  • 4.73, Аноним (79), 16:00, 07/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Перехватят и 2FA
     
     
  • 5.75, Аноним (79), 16:02, 07/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Перехватят и 3FA
     
     
  • 6.77, Аноним (71), 17:23, 07/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Для этого должна быть целенаправленная атака, а не школьник какой-то.
     
  • 3.74, Аноним (79), 16:01, 07/01/2024 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Если бы его переписали на безопасный язык (который умеет безопасно работать с памятью), то такого не было!
     

  • 1.46, Tron is Whistling (?), 09:38, 07/01/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    ripeadmin? Красиво, чо.
    И это подразделение одного из большущих мегамонстров, кстати...
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру