西班牙第二大移动运营商因弱密码惨遭重创

西班牙第二大移动运营商Orange España在上周三遭受重大服务中断，研究人员称，一名未知当事人获取了一个“荒唐脆弱”的密码，利用它访问了管理全球路由表的账户，控制着该公司的互联网流量由哪些网络提供。

这次劫持始于协调世界时上午9:28(太平洋标准时间约2:28)，当事人使用密码“ripeadmin”(不包括引号)登录Orange的RIPE NCC账户。RIPE网络协调中心是五个区域性互联网注册处之一，负责管理和分配IP地址给互联网服务提供商、电信组织以及管理自己网络基础设施的公司。RIPE服务覆盖欧洲、中东和中亚的75个国家。

事态恶化

这个密码是在该当事人使用昵称Snow的人物在社交媒体上贴出一张图片后暴露的图片显示了与RIPE账户关联的orange.es电子邮件地址。RIPE表示，它正在想办法加强账户安全。

安全公司Hudson Rock将电子邮件地址输入到它维护的一个数据库中，该数据库跟踪在线市场上出售的凭证。该安全公司在一篇文章中表示，这个用户名和“荒唐脆弱”的密码是通过安装在橙色计算机上的信息窃取恶意软件于去年9月收集的。密码随后在一个信息窃取者市场上可供销售。

研究员Kevin Beaumont表示，保护其他RIPE账户的数千个凭证也在这类市场上有售。

Snow登录到Orange的RIPE账户后，对移动运营商依赖于指定哪些骨干供应商有权将其流量传送到世界各地的全球路由表进行了更改。这些表格是使用边界网关协议(BGP)管理的，它将一个区域网络连接到互联网的其余部分。具体来说，Snow增加了几个新的ROA，即路由起源授权。这些条目允许如Orange AS12479这样的“自治系统”指定其他自治系统或大量IP地址，将其流量传送到世界各地的各个区域。

起初，这些变更没有产生明显效果，因为Snow增加的宣布IP地址的ROA——93.117.88.0/22、93.117.88.0/21和149.74.0.0/16——已经源自Orange的AS12479。几分钟后，Snow为另外五个路由增加了ROA。它们中只有一个也始于Orange AS，并且再次没有影响流量，根据安全和网络公司Kentik的BGP专家Doug Madory对事件的详细描述。

为149.74.0.0/16创建的ROA是Snow造成问题的首次行动，因为最大前缀长度被设置为16，使任何使用该地址范围的更小路由无效。

Madory在网络采访中告诉Ars：“它使得比16更具体(前缀长度更长)的路由无效。因此像149.74.100.0/23这样的路由开始变得无效，并开始被过滤。然后[Snow]创建了更多的ROA以覆盖这些路由。为什么？不确定。我认为，起初，他们只是在闹着玩。在那个ROA被创建之前，没有任何ROA断言关于这个地址范围的任何东西。”

这一中断很快得到纠正。然后，从协调世界时14:20开始，Madory在周四的描述中写道，“事态变得丑陋”。那是Snow发布了四个含有“虚假起源”的新ROA，意味着这些起源与Orange没有任何联系。因此，起源自Orange AS的路由数量从约9200条减少到7400条，因为一种相对较新的BGP保护措施，即RPKI——资源公共密钥基础设施——促使许多骨干供应商拒绝这些宣布。

讽刺的是，RPKI的目的是为了防止路由劫持，这是一个过于常见的事件，其中一方可能故意或错误地发布将流量通过未授权的IP地址范围的ROA，有时对互联网稳定性甚至潜在的国家安全构成严重威胁。

实际上，Snow已将这种防御武器化，为Orange用户造成了服务拒绝。

Madory写道：

我怀疑，起初，这个人只是想看看他们能在账户里做些什么。也许他们认为这可能会被监控，并且在做了一些无害的事情后会被踢出来。但随着时间的推移，他们变得更加大胆，直到他们决定引起一个大规模的中断，以引起服务提供商注意他们糟糕的安全做法。我不认为单独造成停电就是他们的目标，但我真的只是在猜测。

起初，似乎这个人只是在不造成伤害的情况下看看他们能做些什么。然后[他们]尝试改变一些路由的起源[看看]是否可能造成一些小的中断。然后在14:20，他们用两条/12的ROA进行了核按钮操作。

除了凸显BGP的持续脆弱性外，这一事件也暴露出Orange在安全卫生方面令人担忧的缺失。一方面，有一个信息窃取者安装在员工的电脑上，没被发现就已经四个月了。另一方面：使用脆弱的密码，并且没有用多因素认证保护在像RIPE这样的区域性互联网注册处的账户。所有这些都是业余的疏漏，一个拥有Orange影响力的组织不应有可能。同样令人不安的是：Madory表示，直到上周三，Orange的RIPE账户还没有被配置成跟踪新ROA的创建，这一疏失使路由公告更难追踪。

Madory写道：“如果RPKI之前不在Orange España的雷达上，那现在肯定是了。希望这次事件能作为其他服务提供商的警钟，他们的RIR门户账户是关键任务，需要用不止一个简单密码来保护。”

本文译自 Ars Technica，由 BALI 编辑发布。