Orange Espagne a subi une panne d’Internet aujourd’hui après qu’un pirate informatique a piraté le compte RIPE de l’entreprise pour mal configurer le routage BGP et une configuration RPKI.

Le routage du trafic sur Internet est géré par Border Gateway Protocol (BGP), qui permet aux organisations d’associer leurs adresses IP à des numéros de système autonome (AS) et de les annoncer à d’autres routeurs auxquels ils sont connectés, appelés leurs pairs.

Ces publicités BGP créent une table de routage qui se propage à tous les autres routeurs périphériques sur Internet, permettant aux réseaux de connaître le meilleur itinéraire pour envoyer du trafic vers une adresse IP particulière.

Cependant, lorsqu’un réseau malveillant annonce des plages d’adresses IP généralement associées à un autre numéro AS, il est possible de détourner ces plages d’adresses IP pour rediriger le trafic vers des sites Web ou des réseaux malveillants.

Selon Cloudflare, cela est possible car BGP repose sur la confiance et la table de routage sera mise à jour en fonction de l’annonceur qui a l’itinéraire le plus court et le plus spécifique.

Pour éviter cela, une nouvelle norme appelée Resource Public Key Infrastructure (RPKI) a été créée qui agit comme une solution cryptographique au détournement de BGP.

« L’Infrastructure à clé publique de ressources (RPKI) est une méthode cryptographique de signature d’enregistrements qui associe une annonce de route BGP au numéro AS d’origine correct », explique un article de Cloudflare sur RPKI.

En activant RPKI avec un organisme de routage tel que ARIN ou RIPE, un réseau peut certifier cryptographiquement que seuls les routeurs sous son contrôle peuvent annoncer un numéro AS et leurs adresses IP associées.

Un pirate pirate un compte RIPE pour casser BGP
Hier, un acteur de la menace nommé « Snow » a piraté le compte MÛR d’Orange Espagne et a tweeté à Orange Espagne pour les contacter au sujet de l’obtention de nouvelles informations d’identification.

Depuis lors, l’attaquant a modifié le numéro AS associé aux adresses IP de l’entreprise et a activé une configuration RPKI invalide sur celles-ci.

En annonçant les adresses IP sur le numéro AS de quelqu’un d’autre, puis en activant RPKI, ces adresses IP n’étaient plus annoncées correctement sur Internet.

« Comme nous le voyons, ils ont créé des enregistrements ROA / 12, qui indiquent essentiellement qui est l’AUTORITÉ sur un préfixe (c’est-à-dire l’AS qui peut l’annoncer) », Felipe Cañizares, directeur technique de DMNTR Network Solutions, a déclaré à Breachtrace.

« Ceux-ci regroupaient les préfixes /22 et /24 annoncés par Orange Espagne, indiquant que l’AS qui devrait annoncer ce préfixe était AS49581 (Ferdinand Zink commercialisant sous le nom d’hébergement de tubes). »

« Une fois cela fait, ils ont activé RPKI sur that /12… et au revoir… »

Implémentation RPKI non valide sur les adresses IP annoncées

Cela a entraîné un problème de performances sur le réseau d’Orange Espagne entre 14h45 et 16h15 UTC, ce qui peut être vu dans le graphique de trafic Cloudflare ci-dessous pour AS12479.

Graphique de trafic pour AS12479 d’Orange Espagne

Orange Espagne a depuis confirmé que son compte RIPE avait été piraté et a commencé à rétablir les services.

« REMARQUE: Le compte Orange du centre de coordination du réseau IP (RIPE) a subi un accès inapproprié qui a affecté la navigation de certains de nos clients. Le service est pratiquement rétabli », a tweeté Orange Espagne.

« Nous confirmons qu’en aucun cas les données de nos clients ne sont compromises, cela n’a affecté que la navigation de certains services. »

On ignore comment l’auteur de la menace a piraté le compte RIPE, mais Cañizares a déclaré à Breachtrace qu’il pensait qu’Orange Espagne n’avait pas activé l’authentification à deux facteurs sur le compte.

Cañizares a créé un fil sur X résumant comment cette attaque a eu lieu.

Breachtrace a contacté Orange Espagne avec des questions sur l’attaque mais n’a pas reçu de réponse pour le moment.

Informations d’identification probablement volées via un logiciel malveillant
Bien qu’Orange Espagne n’ait pas révélé comment son compte RIPE a été piraté, l’auteur de la menace a fourni un indice dans une capture d’écran publiée sur Twitter contenant l’adresse e-mail du compte piraté.

Alon Gal du service de renseignement sur la cybersécurité Hudson Rock a déclaré à Breachtrace que cet e-mail et un mot de passe associé pour le compte RIPE avaient été trouvés dans une liste de comptes volés par des logiciels malveillants voleurs d’informations.

« L’employé d’Orange a vu son ordinateur infecté par un Infostealer de type Raton laveur le 4 septembre 2023, et parmi les informations d’identification de l’entreprise identifiées sur la machine, l’employé avait des informations d’identification spécifiques pour « https://access.ripe.net » en utilisant l’adresse e-mail révélée par l’auteur de la menace ([email protected]) », explique la recherche de Hudson Rock.

Selon Gal, le mot de passe du compte était « ripeadmin », un mot de passe très simple pour un compte critique.

Les logiciels malveillants voleurs d’informations sont devenus le fléau de l’entreprise, car les acteurs de la menace les utilisent pour recueillir des informations d’identification pour un accès initial aux réseaux d’entreprise.

Les auteurs de menaces achètent généralement des informations d’identification volées sur des places de marché de la cybercriminalité, qui sont ensuite utilisées pour violer les réseaux pour effectuer des vols de données, du cyberespionnage et des attaques par ransomware.

Pour cette raison, tous les comptes doivent avoir une authentification à deux facteurs ou à plusieurs facteurs activée afin que même si un compte est volé, les attaquants ne puissent pas se connecter au compte.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *