En un desafortunado evento, Orange
España, el segundo operador de telefonía móvil más grande de España,
experimentó una importante interrupción el miércoles pasado después de que un
tercero obtuviera acceso a una contraseña
«ridículamente débil» y la utilizara para acceder a una cuenta
que administra la tabla de enrutamiento global de la compañía, controlando qué
redes entregan el tráfico de Internet de la empresa, según informaron los
investigadores.
El secuestro comenzó alrededor de las
9:28 UTC cuando el tercero inició sesión en la cuenta RIPE NCC de Orange
utilizando la contraseña «ripeadmin» (sin las comillas). El RIPE
Network Coordination Center es uno de los cinco Registros de Internet
Regionales, responsables de gestionar y asignar direcciones IP a proveedores de
servicios de Internet, organizaciones de telecomunicaciones y empresas que
gestionan su propia infraestructura de red. RIPE presta servicios a 75 países
en Europa, Oriente Medio y Asia Central.
La contraseña se hizo pública después
de que el tercero, que utiliza el seudónimo Snow, publicara una imagen en las
redes sociales que mostraba la dirección de correo electrónico orange.es
asociada a la cuenta RIPE. RIPE afirmó estar trabajando en formas de reforzar
la seguridad de las cuentas. La firma de seguridad Hudson Rock ingresó la
dirección de correo electrónico en una base de datos que mantiene para rastrear
credenciales en venta en foros en línea. En una publicación, la firma de
seguridad señaló que el nombre de usuario y la contraseña «ridículamente débil» fueron recolectados
por un malware que había estado instalado en una computadora de Orange desde
septiembre. La contraseña estaba disponible para su venta en un mercado de robo
de información.
El investigador Kevin Beaumont afirmó
que miles de credenciales que protegen otras cuentas de RIPE también están
disponibles en tales mercados.
Ataque
Una vez dentro de la cuenta RIPE de
Orange, Snow realizó cambios en la tabla de enrutamiento global en la que el
operador móvil confía para especificar qué proveedores de infraestructura están
autorizados a llevar su tráfico a varias partes del mundo. Estas tablas se
gestionan mediante el Protocolo de Puerta de Enlace Fronteriza (BGP), que
conecta una red regional con el resto de Internet. Snow agregó varias nuevas
Autorizaciones de Origen de Ruta (ROA, por sus siglas en inglés). Estas
entradas permiten a «sistemas autónomos», como el AS12479 de Orange,
designar otros sistemas autónomos o grandes bloques de direcciones IP para
entregar su tráfico a diversas regiones del mundo.
En la etapa inicial, los cambios no
tuvieron un efecto significativo porque las ROAs que Snow agregó anunciando las
direcciones IP: 93.117.88.0/22 y 93.117.88.0/21, y 149.74.0.0/16 ya tenían
origen en el AS12479 de Orange. Minutos después, Snow agregó ROAs a cinco rutas
adicionales. Todas, excepto una, también tenían origen en el AS de Orange y,
nuevamente, no tuvieron efecto en el tráfico, según un detallado informe del
evento realizado por Doug Madory, un experto en BGP de la firma de seguridad y
redes Kentik.
La creación de la ROA para
149.74.0.0/16 fue el primer acto de Snow para crear problemas, ya que la
longitud máxima de prefijo se estableció en 16, invalidando cualquier ruta más
específica (longitud de prefijo mayor) que utilice el rango de direcciones.
Situación
irónica
Irónicamente, el propósito de RPKI es
prevenir el secuestro de rutas, una ocurrencia demasiado común en la que una
parte publica intencional o erróneamente ROAs que enrutan el tráfico a través
de rangos de direcciones IP no autorizados, a veces representando amenazas
graves para la estabilidad de Internet y, potencialmente, para la seguridad
nacional. En este caso, Snow había convertido esta protección en una
herramienta de denegación de servicio para los suscriptores de Orange.
La manipulación desenfocada y, en
ocasiones, ineficaz de Snow con las rutas de Orange hace que el objetivo final
del secuestro no esté claro. Inicialmente, se publicaron ROAs que tenían poco o
ningún efecto en absoluto. Incluso cuando Snow publicó ROAs más destructivas a
partir de las 14:00 UTC, el efecto fue más limitado de lo que podría haber
sido, ya que eliminó aproximadamente el 20% de las 9,200 rutas de Orange.
Al parecer, al principio, esta
persona estaba viendo qué podía hacer sin causar daño. Luego, intentaron
cambiar los orígenes de algunas rutas para ver si podían causar alguna
interrupción.
Ausencia de
medidas de seguridad
Además de subrayar la fragilidad
continua de BGP, el incidente expone una preocupante falta de prácticas de
seguridad en Orange. Por un lado, un software de robo de información instalado
en la computadora de un empleado que pasó desapercibido durante cuatro meses.
Por otro lado, el uso de una
contraseña débil y la falta de autenticación multifactor para proteger una
cuenta en un Registro de Internet Regional como RIPE. Todas son omisiones
inexpertas que nunca deberían haber sido posibles en una organización con el
alcance de Orange. También preocupa que, hasta el miércoles, la cuenta RIPE de
Orange nunca se configuró para rastrear la creación de nuevas ROAs, una omisión
que dificultó el seguimiento de los anuncios de rutas.
Un problema de configuración expuso las contraseñas de millones de cultivadores de marihuana