El comportamiento de la red de Orange ha vuelto aparentemente a la normalidad dos días después del incidente en el que se vio comprometida su cuenta de acceso al registro regional de internet RIPE, a pesar de que el 20% de sus prefijos todavía siguen siendo inválidos y es innecesariamente la cuarta red con las rutas más fragmentadas en toda internet.
El caso Orange es único
El hackeo sufrido por Orange España ya es parte de la historia de internet en nuestro país y un caso de estudio, por su naturaleza inédita, entre los expertos en ciberseguridad de todo el mundo.
La persona que dejó desconectados durante varias horas a los clientes de la segunda mayor operadora en España, había encontrado las credenciales de acceso utilizadas por Orange España para gestionar sus direcciones IP en una publicación automatizada de datos recopilados por el malware Racoon, que se había colado el pasado 4 de septiembre en el ordenador de un empleado. La contraseña además era inexplicablemente sencilla, lo que junto con la ausencia de 2FA como protección, facilitó el acceso a la cuenta.
Antes del desastre, el atacante envió un mensaje a Orange por Twitter ironizando con que había solucionado la falta de seguridad de su cuenta RIPE y que le escribiesen un privado para obtener los nuevos credenciales. Orange respondió con un mensaje automatizado. A las 10:30 se producían las primeras modificaciones en la configuración de RIPE1, todavía sin mayores efectos. No fue hasta las 15:30 que el atacante activó registros ROA (Route Origin Attestations) en algunos prefijos más generales, como 62.36.0.0/16, 85.48.0.0/12 o 90.160.0.0/12 y es cuando se inicio el desastre.
Hasta la fecha Orange no había configurado objetos ROA para proteger sus direcciones IP. Con ROA, el dueño de un prefijo o rango de direcciones IP, indica en RIPE el sistema autónomo AS (Autonomous System, el de Orange es el 12479) que puede anunciar esas direcciones en internet. El resto de redes consultan esta información en los servidores RPKI (Resource Public Key Infrastructure) que mantienen los registros regionales antes de mandar tráfico hacia una IP, de forma que se aseguran de que nadie está usurpando al destinatario del tráfico.
Lo que el atacante hizo es poner como ROA para los prefijos de Orange, el AS49581, que corresponde con una empresa alemana de hosting, de forma que el resto de redes empezaron a encontrar incongruencias entre quién anuncia una IP y quien debería hacerlo, desconectando los prefijos afectados, lo que se tradujo en que los clientes de Orange y sus marcas dejaron de poder conectarse a buena parte de internet. Según Cloudflare Radar, el tráfico de la red de Orange España descendió hasta un 50% a partir de ese momento.
RIPE tuvo que intervenir para devolver el acceso a sus legítimos propietarios. A las 19:00 los técnicos de Orange accedían a su cuenta de nuevo para corregir la situación mediante un parche. Esta vez dejaron los objetos ROA, modificando los más importantes para que apunten correctamente al AS de Orange.
Caos en la configuración de las direcciones IP de Orange
La configuración de los prefijos de Orange es la herencia de más de 2 décadas de adquisiciones de diferentes proveedores de internet, como Uni2 o Jazztel. Durante este tiempo, no parece haberse efectuado una limpieza2 para reducir el número de prefijos anunciados, agregando los más específicos en un menor número de prefijos más generales.
Actualmente Orange España es la cuarta red en el mundo que más rutas anuncia3, incluso después de la reducción que se ha producido estos días. Orange anuncia 5755 prefijos, un 52% más de lo necesario. Por comparar, Movistar, que cuenta con 10,5 millones de IP frente a los 7 millones de Orange, las anuncia con tan solo 212 prefijos.
Aunque la red de Orange ha vuelto aparentemente a la normalidad, por delante queda trabajo de limpieza, pues en este momento miles de rutas siguen siendo inválidas. Según Cloudflare4, solo el 22% de los prefijos de Orange tienen RPKI activo y válido, aunque se trata de los más generales. Aún hay un 20% más especificos con RPKI inválido que no han sido corregidos, algunos de ellos aún apuntando al ASN configurado por el atacante.
