LINUX.ORG.RU

Orange España взломали из-за того, что пароль у пользователя admin учетной записи RIPE NCC был ripeadmin

 , , ,


0

1

Orange España, второй по величине мобильный оператор Испании, столкнулся с серьезным сбоем в среду после того, как неизвестная сторона получила доступ к учетной записи для управления глобальной таблицей маршрутизации с помощью «смехотворно слабого» пароля. Начиная с 9:28 UTC, лицо под ником Snow вошло в учетную запись Orange в RIPE NCC, используя пароль ripeadmin. RIPE NCC отвечает за управление и распределение IP-адресов и обслуживает 75 стран Европы, Ближнего Востока и Центральной Азии.

Snow сначала добавил новые ROAs (Route Origin Authorizations) к глобальной таблице маршрутизации, которые изначально не вызвали сбоев. Однако позже Snow добавил ROAs с «фальшивыми источниками», что привело к существенному сокращению действительных маршрутов Orange, что, в свою очередь, стало причиной сбоя в обслуживании. Проблема была усугублена использованием системы RPKI (Resource Public Key Infrastructure), предназначенной для предотвращения неправомерного перехвата маршрутов, что эффективно сделало сеть Orange нефункционирующей.

Компания Hudson Rock обнаружила учетные данные на продажу в онлайн-магазинах, которые были украдены с помощью вредоносного ПО, установленного на компьютере Orange с сентября. Исследователи также обратили внимание на тысячи других учетных данных, защищающих учетные записи RIPE, доступных в таких маркетплейсах.

Этот инцидент подчеркивает хрупкость системы BGP и выявляет серьезные проблемы с безопасностью в Orange. Использование слабого пароля и отсутствие многофакторной аутентификации, а также установленное вредоносное ПО на компьютере сотрудника, которое оставалось незамеченным в течение четырех месяцев, являются серьезными просчетами, которых никогда не должно было произойти в организации с таким масштабом деятельности, как Orange. Исследователи надеются, что этот инцидент послужит тревожным звонком для других поставщиков услуг и побудит их усилить меры безопасности.

>>> Подробности



Проверено: hobbit ()
Последнее исправление: hobbit (всего исправлений: 1)

установленное вредоносное ПО на компьютере сотрудника - какая разница тогда, какой трудности пароль?

One ★★★★★
()

жир потёк с экрана админа

Xant1k ★★
()

То чувство, когда год издания декретариев папой Григорием девятым выглядит паролем более стойким.

imul ★★★★★
()

Исследователи надеются, что этот инцидент послужит тревожным звонком для других поставщиков услуг и побудит их усилить меры безопасности.

Вроде уже в который раз такое случается в крупных компаниях и никаким звонком никому не послужило до сих пор.

firkax ★★★★★
()
Ответ на: комментарий от firkax

Всем пох. Особенно в крупных компаниях.

rupert ★★★★★
()

Как с хабры несвежего поел. Два факта - «у кого-то был слабый пароль» и «кто-то что-то сломал» - растянуты до целой статьи, без никаких технических подробностей и попыток понимания происходящего.

HE_KOT
()
Ответ на: комментарий от LINUX-ORG-RU

Если пароль стойкий, то и ничего вообще-то.

praseodim ★★★★★
()
Ответ на: комментарий от LINUX-ORG-RU

Во-первых, почему, а во-вторых, кто за это должен агитировать? Это был пароль от кабинета ripe ncc. Самому ripe ncc в целом пофиг на это событие, это не у него что-то украли, а у его клиента, по вине того самого клиента, который сделал плохой пароль. Ну а у клиента скорее всего нет выбора способа авторизации, какой предоставили (логин/пароль) такой и есть.

firkax ★★★★★
()
Ответ на: комментарий от firkax

Ну а у клиента скорее всего нет выбора способа авторизации, какой предоставили (логин/пароль) такой и есть.

Вообще-то это не так. Аж со времен общения с ripe-роботом по почте - не так.

DrRulez ★★★★
()
Ответ на: комментарий от thesis

Причем этот пароль позволяет ему входить в админку любого сайта

alt-tab-let ★★
()

выглядит так, как будто студент-рукожоп взялся за работу и все настройки поломал, но списали на admin/admin и BGP

действительно не тому пароль доверили.

spigel
()
Ответ на: комментарий от One

какая разница тогда, какой трудности пароль?

Разница в том, что несколько незначительных дырочек создают одну крупную дыру. Почитай статейку на хабре о том, как чел взломал github. В двух словах, он заюзал около 4-х мелких дыр и в итоге смог писать в любой репозиторий.

iron ★★★★★
()
Ответ на: комментарий от Nxx

Судя по сурсу, это никнейм в какой-то соцсети, где он похвастался скрином кабинета.

thesis ★★★★★
()
Ответ на: комментарий от firkax

Это был пароль от кабинета ripe ncc. Самому ripe ncc в целом пофиг на это событие

Нет, не пофиг. Каким образом такой мощный инструмент не требует второй фактор для входа? Да, пользовать наступил на грабли, но сервис должен делать всё возможное, чтобы пользователь не наступал на них. Тем более пользователь RIPE не домохозяйка, это ИТ специалист, 2FA / MFA не должно быть проблемой.

Irben ★★★
()
Ответ на: комментарий от Irben

Вот как раз потому, что там не домохозяйка, от него ожидают адекватного поведения, в частности неустановку таких паролей. От домохозяек как раз могут принудительно требовать всякие 2FA и прочие навязанные инструменты безопасности. А специалист может сам разобраться что ему нужно, что не нужно, а что он может быть по каким-то обоснованным причинам использовать не может.

firkax ★★★★★
()
Ответ на: комментарий от firkax

Сетевик не обязан быть профи в безопасности, но знать как пользоваться двухфакторкой - обязан. И каким образом пароль в 21-м веке всё ещё достаточное средство аутентификации? Его можно украсть, пусть он хоть из 24-х символов. Его можно подобрать, что и произошло, видимо (или вирусом утащили, неважно). Второй фактор - необходимость для хоть сколько важного сервиса.

Irben ★★★
()

просто не надо синхронизировать свои маршруты по базе ripe

иногда чрезмерная автоматизация - зло

MHz
()
Ответ на: комментарий от firkax

от него ожидают адекватного поведения

Да не надо, просто нельзя ничего ожидать, не в детском же садике всё это происходит, а в очень (казалось бы...) серьёзной конторе.

Надо требовать, предварительно исключив саму возможность обхода установленных требований пользователем.

Somebody ★★
()
Ответ на: комментарий от Somebody

То что ты описал это и есть детский сад. «Серьёзная контора» - не воспитатель, люди сами разберутся что им делать.

firkax ★★★★★
()

А не может это быть уже сменённым паролем, для лулзов, тогда как истинный вектор атаки скрыт, дабы не палить тему?

hatred ★★★
()
Ответ на: комментарий от firkax

люди сами разберутся что им делать

Это не про организацию, а про тусовочку.

alex1101
()

Использование слабого пароля и отсутствие многофакторной аутентификации

Через смс что-ли? Ненавижу этот способ. А если я в другую страну в отпуск уехал, а если мобильный оператор лег…

Лучше взять обучную аутентификацию по ключу, как в ssh.

rumgot ★★★★★
()
Последнее исправление: rumgot (всего исправлений: 1)
Ответ на: комментарий от rumgot

Через токен, естественно. Тем более они последнее время стали довольно дешевы.

А на токене уже хоть WebAuthn, хоть полноценная пара ключей «как в ssh».

token_polyak ★★★★★
()
Последнее исправление: token_polyak (всего исправлений: 2)
Ответ на: комментарий от token_polyak

Через токен, естественно. Тем более они последнее время стали довольно дешевы.

Можешь подробнее структуру описать?

rumgot ★★★★★
()
Ответ на: комментарий от token_polyak

Ну как происходит аутентификация с токеном? Там веб интерфейс для входа? Что за платные токены? Как токен используется? Ну т.е. всю структуру взаимодействий при входе в учетку.

rumgot ★★★★★
()
Ответ на: комментарий от hatred

А не может это быть уже сменённым паролем, для лулзов, тогда как истинный вектор атаки скрыт, дабы не палить тему?

ИМХО, так и есть

Vinni_Pooh ★★★★★
()

Решето! Где у нас решето?

Stalin ★★★★★
()
Ответ на: комментарий от rumgot

Криптографический токен - устройство на USB (плюс, иногда, NFC или Bluetooth), на котором хранятся ключи. Если сделан по уму, то с шифрованной флешкой и ОЗУ, а если производитель вообще заморочился, то на процессоре с особо запутанным кремнием, который плохо поддаётся реверс-инжинирингу, как в смарткартах. Всё для того, чтоб ключи были неизвлекаемыми.

В случае OTP ключь симметричен, с использованием ключа и текущего времени (если TOTP) считается HMAC, из которого получается одноразовый пароль.

В случае WebAuthn на токене пара ключей ECDSA, удалённый сервер просит подписать некое сообщение с их помощью, токен услужно подписывает, пользователя пускают.

Ну а про пару ключей на смарткарте (токене) как на OpenPGP Card всё и так понятно.

Итого: юзер заходит в какой-нибудь веб-интерфейс либо подключается куда-то через SSH, его просят залогиниться ключом, юзер указывает PIN от токена либо нажимает кнопку на нём (либо и то, и другое) - вуаля, он залогинен. И подделать всё это практически нельзя. За исключением громких факапов.

token_polyak ★★★★★
()
Последнее исправление: token_polyak (всего исправлений: 7)

Этот инцидент подчеркивает хрупкость системы BGP и выявляет серьезные проблемы с безопасностью в Orange

Причём тут BGP? Ключи были корректные, пароль тоже верный - это все равно как дать вору ключи от квартиры и код сигнализации, а потом блажить, что охранная система плоха.

alex-w ★★★★★
()
Ответ на: комментарий от firkax

Ну да... ну да... «чОткие пацанчики» правил и ограничений не приёмлют. :))

То, что я описал, сынок — это для людей, которым нужно работать, и организаций, которые хотят, чтобы работало предсказуемо, в рамках заданных правил, а не для тинейджеров с порывами к самоутверждению за счёт «дяди».

Там никакие «сами разберутся» не нужны.

Somebody ★★
()
Ответ на: комментарий от firkax

Любая серьёзная организация, которую заботит её безопасность, и которая предпочитает устанавливать свои правила самостоятельно и не хочет, чтобы эта безопасность зависела от тинейджеров, которые «сами разберутся». Очевидно же. :)

Пример обратного подхода — в обсуждаемой публикации.

Somebody ★★
()
Ответ на: комментарий от Somebody

Вот я и спрашиваю - какая конкретно компания это в данном случае? Чья безопасность была нарушена и кто не установил правила безопасности?

firkax ★★★★★
()
Последнее исправление: firkax (всего исправлений: 3)
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.