Orange Spain, bir bilgisayar korsanının BGP yönlendirmesini ve RPKI yapılandırmasını yanlış yapılandırmak için şirketin RIPE hesabını ihlal etmesinden sonra bugün internet kesintisi yaşadı.
İnternetteki trafiğin yönlendirilmesi, kuruluşların IP adreslerini otonom sistem (AS) numaralarıyla ilişkilendirmesine ve bunları bağlı oldukları, eşleri olarak bilinen diğer yönlendiricilere duyurmasına olanak tanıyan Sınır Ağ Geçidi Protokolü (BGP) tarafından gerçekleştirilir.
Bu BGP reklamları, internetteki tüm diğer uç yönlendiricilere yayılan bir yönlendirme tablosu oluşturarak ağların belirli bir IP adresine trafik göndermek için en iyi rotayı bilmesine olanak tanır.
Bununla birlikte, sahte bir ağ genellikle başka bir AS numarasıyla ilişkili IP aralıklarını duyurduğunda, trafiği kötü amaçlı web sitelerine veya ağlara yönlendirmek için bu IP aralıklarını ele geçirmek mümkündür.
Cloudflare’e göre bu mümkün çünkü BGP güven üzerine kurulu ve yönlendirme tablosu hangi reklamverenin en kısa ve daha spesifik rotaya sahip olduğuna göre güncellenecek.
Bunu önlemek için, BGP ele geçirmesine karşı kriptografik bir çözüm görevi gören Kaynak Ortak Anahtar Altyapısı (RPKI) adı verilen yeni bir standart oluşturuldu.
RPKI ile ilgili bir Cloudflare makalesi, “Kaynak Ortak Anahtar Altyapısı (RPKI), bir BGP rota duyurusunu doğru kaynak AS numarasıyla ilişkilendiren kayıtları imzalamaya yönelik kriptografik bir yöntemdir” diye açıklıyor.
Bir ağ, ARIN veya RIPE gibi bir yönlendirme gövdesiyle RPKI’yi etkinleştirerek, yalnızca kendi kontrolü altındaki yönlendiricilerin bir AS numarası ve bunlarla ilişkili IP adreslerini tanıtabileceğini kriptografik olarak doğrulayabilir.
Bilgisayar korsanı BGP’yi kırmak için RIPE hesabını ihlal etti
Dün, ‘Snow’ adlı bir tehdit aktörü Orange Spain’in RIPE hesabını ihlal etti ve yeni kimlik bilgileri alma konusunda Orange Spain ile iletişime geçmek için tweet attı.
O zamandan beri saldırgan, şirketin IP adresleriyle ilişkili AS numarasını değiştirdi ve bu adreslerde geçersiz bir RPKI yapılandırmasını etkinleştirdi.
IP adreslerinin başkasının AS numarasında duyurulması ve ardından RPKI’nin etkin bir şekilde etkinleştirilmesi, bu IP adreslerinin artık internette düzgün şekilde duyurulmamasına neden oldu.
“Gördüğümüz gibi yaptıkları şey, temel olarak bir önek (yani bunu duyurabilen AS) üzerinden OTORİTE’nin kim olduğunu gösteren bazı ROA/12 kayıtları oluşturmaktı.” Felipe CanizaresDMNTR Network Solutions’ın CTO’su BleepingComputer’a söyledi.
“Bunlar, Orange Spain tarafından duyurulan /22 ve /24 öneklerini bir araya getirdi; bu, bu önekin AS49581 olduğunu duyurması gereken AS’nin (Ferdinand Zink Tube-Hosting olarak işlem görüyor) olduğunu gösteriyor.”
“Bu yapıldıktan sonra /12’de RPKI’yi etkinleştirdiler… ve elveda…”
Kaynak: Cañizares
Bu, Orange Spain ağında 14:45 ile 16:15 UTC arasında bir performans sorununa yol açtı; bu, AS12479 için aşağıdaki Cloudflare trafik grafiğinde görülebilir.
Kaynak: Cloudflare
Orange Spain o zamandan beri RIPE hesaplarının saldırıya uğradığını doğruladı ve hizmetleri geri yüklemeye başladı.
“NOT: IP ağ koordinasyon merkezindeki (RIPE) Orange hesabı, bazı müşterilerimizin gezinmesini etkileyen uygunsuz erişim sorunu yaşadı. Hizmet pratik olarak geri yüklendi.” Orange İspanya tweetledi.
“Müşterilerimizin verilerinin hiçbir şekilde tehlikeye atılmadığını, bunun yalnızca bazı hizmetlerin navigasyonunu etkilediğini onaylıyoruz.”
Tehdit aktörünün RIPE hesabını nasıl ihlal ettiği belli olmasa da Cañizares, BleepingComputer’a Orange Spain’in hesapta iki faktörlü kimlik doğrulamayı etkinleştirmediğine inandığını söyledi.
Cañizares’in yarattığı X’teki iş parçacığı Bu saldırının nasıl gerçekleştiğini özetliyor.
BleepingComputer, saldırıyla ilgili soruları için Orange Spain ile iletişime geçti ancak şu anda bir yanıt alamadı.