Internetstörungen in Spanien: Orange-Konto bei RIPE geknackt
Im spanischen Internet kam es zu Störungen. Das Konto des Anbieters Orange bei RIPE wurde geknackt, die Angreifer haben Routen umgelenkt.
(Bild: jurgenfr/ Shutterstock.com)
- Monika Ermert
Der spanische Provider Orange wurde Anfang des Jahres Opfer einer Attacke auf sein BGP-Routing. Ein Angreifer hatte laut Berichten aus Security-Kreisen den lax gesicherten Account des Telekommunikationsdienstleisters bei der europäischen IP-Adressregistry RIPE benutzt, um neue Routen zu hinterlegen. Der Internet-Verkehr von Orange-Kunden brach dadurch drastisch ein.
Am Mittwochabend dieser Woche berichteten erste Beobachter von dem Angriff auf die Orange-Routen. Ein Angreifer hatte laut dem Security Experten Kevin Beaumont den Verkehr zu mindestens einem /12 IP-Adressblock (also Netzmaske 255.240.0.0) von Orange übernommen.
(Bild: Kevin Beaumont / X)
Für Internet-Traffic zu den entsprechenden Adressen hinterlegte der Angreifer – der sich per Twitter feixend selbst zu Wort meldete – einfach neue Route-Origin-Zertifikate (ROAs).
ROAs sind Bestandteil des Resource-Publik-Key-Infrastructure-Systems (RPKI). RPKI wurde eigens dafür eingeführt, um das Umbiegen der früher gänzlich ungesicherten BGP-Routen im Netz zu verhindern. Mittels Prüfung der ROAs wird heute festgestellt, ob diejenigen, die eine Route zu bestimmten IP-Blöcken anmelden, auch die korrekten Inhaber sind.
Durch die Vordertür
Die Route-Zertifikate nützen allerdings wenig, wenn Inhaber den Zugriff auf ihren Account beim RIPE zu schlecht absichern. Aus verschiedenen Berichten, unter anderem auch Hinweisen des Angreifers, geht hervor, dass dieser einfach Oranges Account bei der europäischen Adressregistry RIPE übernommen hatte. Über diesen verwalten Adressinhaber ihre IP-Adressen und die für die BGP-Announcements notwendigen AS-Nummern.
Durch ein schwaches Passwort ("ripeadmin") und den Verzicht auf Zwei-Faktor-Authentifizierung hatte der Angreifer leichtes Spiel. Erhalten hatte er die Informationen offenbar über eine Datenbank mit gestohlenen Passwörtern und Credentials, die schon seit dem vergangenen Sommer im Netz steht.
Beim hauptamtlichen Büro des RIPE, dem RIPE NCC, reagierte man neben der Wiederherstellung der Zugriffsrechte für Orange mit der Bitte an alle Adressinhaber, dass diese die seit mehreren Jahren mögliche Zwei-Faktor-Authentifizierung unbedingt nutzen sollten.
Verzicht auf Zwei-Faktor-Authentifizierung künftig noch opportun?
RIPE NCC Geschäftsführer Hans Petter Holen kündigte zugleich an, dass man aktuell prüfe, ob noch weitere Accounts betroffen sind. Nachdem der Vorgang nun bekannt geworden sei, so Beaumont, erwarte er weitere Angriffe nach diesem Modus Operandi. Er ergänzte: "Aktuell gibt es auf Informationsdiebstahl-Seiten Tausende von Credentials für access.ripe.net-Accounts, es sind praktisch Wiederholungen gegen Organisationen und ISPs quer durch Europa möglich."
Eine Antwort auf eine Anfrage beim RIPE NCC zu weiteren betroffenen oder gefährdeten Accounts und zu einer möglichen Verpflichtung, RIPE Accounts künftig zwingend mit Zwei-Faktor-Authentifizierung zu schützen, steht noch aus. Orange Spanien ist mit einem blauen Auge davongekommen; offenbar ging es dem Angreifer nur darum, den Provider bloßzustellen.
(dmk)