Attacco a Orange España: disastro mancato, ma gestione della sicurezza amatoriale
Una password estremamente debole e un infostealer rimasto indisturbato per quattro mesi: l'attacco all'operatore mobile spagnolo avrebbe potuto avere esiti nefasti, ma solo per fortuna è risultato poco più che una bravata
di Andrea Bai pubblicata il 05 Gennaio 2024, alle 11:01 nel canale SicurezzaNel corso della giornata di mercoledì 3 gennaio Orange España, il secondo operatore di telefonia mobile in Spagna, è stato vittima di una interruzione di servizio dopo che una terza parte ad ora sconosciuta è riuscita ad entrare in possesso di una password di amministrazione, utilizzandola per accedere alla routing table che gestisce l'instradamento del traffico dell'azienda.
Come spiega il ricercatore di sicurezza Kevin Beumont, i problemi sono iniziati alle 9:28 UTC, quando l'attaccante è riuscito a collegarsi all'account RIPE NCC di Orange usando la password "ripeadmin": una password che va contro qualsiasi buona pratica di sicurezza, trattandosi di una composizione estremamente debole e di facile individuazione anche semplicemente "tirando ad indovinare".
Il RIPE Network Coordination Center è uno dei cinque Internet Regional Registry che si occupano di gestire l'assegnazione degli indirizzi IP ai fornitori di servizi Internet, alle organizzazioni di telecomunicazioni e alle aziende che gestiscono la propria infrastruttura di rete. Il RIPE serve 75 Paesi distribuiti in Europa, Medio Oriente e Asia Centrale.
L'aggressore, dopo essere riuscito ad accedere all'account RIPE di Orange, ha modificato la tabella di routing globale su cui l'operatore si basa per specificare quali provider di dorsale siano autorizzati a trasportare il suo traffico verso il resto del mondo.
Queste tabelle sono gestite dal Border Gateway Protocol che ha il compito di collegare una rete regionale al resto di Internet. L'aggressore ha aggiunto al BGP nuove voci Route Origin Authorizations, che consentono a "sistemi autonomi" di designare altri sistemi autonomi o grandi blocchi di indirizzi IP per inviare il proprio traffico nelle diverse zone del mondo.
Dopo alcuni tentativi senza successo, l'aggressore ha inserito una nuova ROA che ha avuto l'effetto di invalidare determinati percorsi specifici, che sono quindi stati filtrati dai sistemi di sicurezza per l'instradamento del traffico. Successivamente le cose si sono fatte più serie, poiché l'aggressione ha inserito quattro nuove ROA contenenti origini che nulla avevano a che fare con Orange. Questo ha portato il meccanismo di protezione conosciuto con il nome di Resource Public Key Infrastructure a rifiutare i percorsi originati dai sistemi Orange.
Lo scopo dell'RPKI è proprio quello di prevenire il dirottamento di traffico Internet, un evento ormai comune quando qualche malintenzionato punta a minare la stabilità di Internet o di alcune sue parti. In questa specifica situazione, però, l'RPKI stava di fatto agendo come una sorta di attacco DDoS verso i clienti serviti da Orange.
In ogni caso gli effetti si sono rivelati meno gravi del previsto, e Orange è successivamente riuscita a riprendere il controllo del proprio account RIPE, ripristinando i corretti instradamenti. Non è chiaro quali fossero le reali intenzioni dell'aggressore, dal momento che avrebbe tranquillamente potuto condurre azioni decisamente più gravi e distruttive per la continuità del servizio di Orange, forse addirittura con risvolti di ben altra portata.
L'episodio mette però in evidenza due aspetti: da un lato la fragilità dei meccanismi del BGP (aspetto comunque già noto tra gli addetti ai lavori) e dall'altra parte una grave negligenza nella gestione della sicurezza da parte di Orange, com'è emerso da alcune indagini terze.
E' stato lo stesso aggressore a rivelare la password "ripeadmin" dopo aver pubblicato uno screenshot sui social mostrando un indirizzo email @orange.es associato all'account RIPE e la password.
Una volta resi noti pubblicamente gli estremi dell'account, la società di sicurezza Hudson Rock li ha inseriti in un database che utilizza per tenere traccia delle credenziali vendute nel dark web, scoprendo che il nome utente e la password sono state recuperate da un malware infostealer che è risultato essere installato su un sistema Orange dallo scorso settembre.
Non solo: l'account RIPE di Orange España non era mai stato configurato, fino a mercoledì, per tenere traccia dell'eventuale creazione di nuove ROA, rendendo quindi più complicato il monitoraggio dei nuovi annunci di instradamento del traffico.
Fortunatamente non è accaduto nulla di realmente grave, ma come già detto gli esiti di questa bravata sarebbero potuti essere ben più distruttivi. Una situazione decisamente evitabile con l'implementazione di pratiche di sicurezza più robuste, a partire da una maggior proattività nell'individuare sistemi compromessi, passando per un sistema di autenticazione a più fattori per quegli account che proteggono funzioni e servizi chiave. E, non da ultimo, una gestione delle password più professionale e degna di un'azienda delle dimensioni di Orange: nel caso specifico la password è stata recuperata con un infostealer, ma "ripeadmin" non avrebbe bisogno nemmeno di un attacco brute-force per essere violata.
4 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - infopoi chi gestisce la rete a bassi livelli usa pass ridicole
Se poi l'audit è "tutto apposto? hai messo la passUord nuova" "sisi, cerrrto, lucida e scintillante" non c'è nulla da fare.
le leggi ci sono, per es quella sulla privacy/GDPR (=non puoi conservare dati sensibili a cazzo).
Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".