圈小蛙研究人员称,西班牙第二大移动运营商Orange España周三遭遇严重宕机故障,原因是一个不明身份的黑客获得了“极其脆弱”的密码,并使用该密码访问了一个用于管理全球路由表的账户,该路由表控制着哪些网络传输该公司的互联网流量。
劫持行为于大约世界标准时间9:28开始,当时该黑客使用密码“ripeadmin”(去掉引号)登录Orange运营商的RIPE NCC帐户。RIPE网络协调中心是五个区域互联网注册机构之一,负责管理和分配IP地址给互联网服务提供商、电信组织和管理自己网络基础设施的公司。RIPE为欧洲、中东和中亚的75个国家提供服务。
该黑客使用昵称”Snow“在社交媒体上发布了一张图片,截图显示了与RIPE帐户关联的Orange.es电子邮件地址,密码随之曝光。RIPE表示正在研究加强账户安全的方法。
网络安全公司Hudson Rock将该电子邮件地址输入到其维护的一个数据库中,该数据库用于跟踪在线黑市上出售的凭据。该安全公司在一篇帖子中表示,用户名和“极其脆弱”的密码是由自9月份以来安装在Orange公司电脑上的信息窃取恶意软件获取的。该密码随后在信息窃取者市场上出售。
研究人员Kevin Beaumont表示,此类市场上还提供了数千个可以访问其他RIPE帐户的凭据。
登录到Orange的RIPE帐户后,Snow对移动运营商所依赖的全球路由表进行了更改,以指定哪些骨干提供商有权将其流量传输到世界各地。这些表使用边界网关协议(BGP)进行管理,该协议将一个区域网络连接到互联网的其余部分。具体来说,Snow添加了几个新的ROA(Route Origin Authorizations的缩写),这些条目允许“自治系统”(例如Orange的AS12479)指定其他自治系统或大块IP地址,以将其流量传送到世界各个地区。
在初始阶段,这些更改没有产生任何有意义的影响,因为Snow添加的ROA宣布的IP地址(93.117.88.0/22和93.117.88.0/21以及149.74.0.0/16)已经源自Orange的AS12479。几分钟后,Snow又为另外五条路由添加了ROA。根据安全和网络公司Kentik的BGP专家Doug Madory对该事件的详细描述,除了其中一个路由之外,其他所有路由也都源于Orange的AS,而且再次对流量没有任何影响。
为149.74.0.0/16创建ROA是Snow制造问题的第一个行为,因为最大前缀长度设置为16,导致使用该地址范围的任何较小路由无效。
“它使任何比16更具体(更长的前缀长度)的路由无效,”Madory在在线采访中称,“因此,像149.74.100.0/23这样的路由变得无效并开始被过滤。然后[Snow]创建了更多ROA来覆盖这些路线。为什么?不清楚。我想,一开始,他们只是在瞎操作。在创建ROA之前,没有ROA可以断言有关此地址范围的任何信息。”
这种干扰很快就得到纠正。然后,从世界标准时间14:20开始,马多里在周四的文章中写道,“事情变得很糟糕。”就在那时,Snow发布了四份新的ROA,其中包含“虚假起源”,即与Orange没有任何关系的起源。结果,源自Orange AS的路由数量从大约9200条下降到7400条,这是一种相对较新的BGP保护,称为RPKI(Resource Public Key Infrastructure的缩写),促使许多骨干运营商拒绝了这些公告。
具有讽刺意味的是,RPKI的目的是防止路由劫持,这是一种司空见惯的现象,即一方故意或错误地发布ROA,通过未经授权的IP地址范围路由流量,有时严重威胁互联网的稳定性,甚至可能危及国家安全。实际上,Snow已将这种保护武器化,从而对Orange的用户造成拒绝服务。
在重新控制RIPE帐户后,Orange通过发布适当的ROA恢复了服务。
除了突显BGP的持续脆弱性之外,该事件还暴露了Orange公司缺乏安全意识的问题。其一,在一名员工的电脑上安装了一个信息窃取程序,但长达四个月都未被发现。其二,使用弱密码,没有使用多因素身份验证来保护区域互联网注册中心(如RIPE)的账户。所有这些都是业余的疏忽,对于像Orange这样影响力如此之大的组织来说,是绝对不可能发生的。同样令人不安的是:Madory表示,直到周三,Orange RIPE帐户从未配置为跟踪新ROA的创建,这一失误使得路由公告更难跟踪。
“如果RPKI以前没有出现在Orange España的关注范围内,那么现在肯定出现了,”Madory写道,“希望这一事件能够给其他服务提供商敲响警钟,让他们知道他们的RIR门户帐户是关键任务,需要的保护不仅仅是简单的密码。”