BandaAncha.eu

  • 🔍 en 📰 artículos ⏎
  • 🔍 en 👇 este 📰 artículo ⏎
  • 🔍 en 💬 foros ⏎
Regístrate Regístrate Identifícate Identifícate

Orange sigue desbordado con la configuración de sus IP dos días después del hackeo

Joshua Llorach
Incidencia Orange

El comportamiento de la red de Orange ha vuelto aparentemente a la normalidad dos días después del incidente en el que se vio comprometida su cuenta de acceso al registro regional de internet RIPE, a pesar de que el 20% de sus prefijos todavía siguen siendo inválidos y es innecesariamente la cuarta red con las rutas más fragmentadas en toda internet.

El caso Orange es único

El hackeo sufrido por Orange España ya es parte de la historia de internet en nuestro país y un caso de estudio, por su naturaleza inédita, entre los expertos en ciberseguridad de todo el mundo.

La persona que dejó desconectados durante varias horas a los clientes de la segunda mayor operadora en España, había encontrado las credenciales de acceso utilizadas por Orange España para gestionar sus direcciones IP en una publicación automatizada de datos recopilados por el malware Racoon, que se había colado el pasado 4 de septiembre en el ordenador de un empleado. La contraseña además era inexplicablemente sencilla, lo que junto con la ausencia de 2FA como protección, facilitó el acceso a la cuenta.

Antes del desastre, el atacante envió un mensaje a Orange por Twitter ironizando con que había solucionado la falta de seguridad de su cuenta RIPE y que le escribiesen un privado para obtener los nuevos credenciales. Orange respondió con un mensaje automatizado. A las 10:30 se producían las primeras modificaciones en la configuración de RIPE1, todavía sin mayores efectos. No fue hasta las 15:30 que el atacante activó registros ROA (Route Origin Attestations) en algunos prefijos más generales, como 62.36.0.0/16, 85.48.0.0/12 o 90.160.0.0/12 y es cuando se inicio el desastre.

Hasta la fecha Orange no había configurado objetos ROA para proteger sus direcciones IP. Con ROA, el dueño de un prefijo o rango de direcciones IP, indica en RIPE el sistema autónomo AS (Autonomous System, el de Orange es el 12479) que puede anunciar esas direcciones en internet. El resto de redes consultan esta información en los servidores RPKI (Resource Public Key Infrastructure) que mantienen los registros regionales antes de mandar tráfico hacia una IP, de forma que se aseguran de que nadie está usurpando al destinatario del tráfico.

Lo que el atacante hizo es poner como ROA para los prefijos de Orange, el AS49581, que corresponde con una empresa alemana de hosting, de forma que el resto de redes empezaron a encontrar incongruencias entre quién anuncia una IP y quien debería hacerlo, desconectando los prefijos afectados, lo que se tradujo en que los clientes de Orange y sus marcas dejaron de poder conectarse a buena parte de internet. Según Cloudflare Radar, el tráfico de la red de Orange España descendió hasta un 50% a partir de ese momento.

RIPE tuvo que intervenir para devolver el acceso a sus legítimos propietarios. A las 19:00 los técnicos de Orange accedían a su cuenta de nuevo para corregir la situación mediante un parche. Esta vez dejaron los objetos ROA, modificando los más importantes para que apunten correctamente al AS de Orange.

Caos en la configuración de las direcciones IP de Orange

Top ASN route count
AS con mayor número de rutas anunciadas en internet

La configuración de los prefijos de Orange es la herencia de más de 2 décadas de adquisiciones de diferentes proveedores de internet, como Uni2 o Jazztel. Durante este tiempo, no parece haberse efectuado una limpieza2 para reducir el número de prefijos anunciados, agregando los más específicos en un menor número de prefijos más generales.

Actualmente Orange España es la cuarta red en el mundo que más rutas anuncia3, incluso después de la reducción que se ha producido estos días. Orange anuncia 5755 prefijos, un 52% más de lo necesario. Por comparar, Movistar, que cuenta con 10,5 millones de IP frente a los 7 millones de Orange, las anuncia con tan solo 212 prefijos.

RKPI invalid AS12479

Aunque la red de Orange ha vuelto aparentemente a la normalidad, por delante queda trabajo de limpieza, pues en este momento miles de rutas siguen siendo inválidas. Según Cloudflare4, solo el 22% de los prefijos de Orange tienen RPKI activo y válido, aunque se trata de los más generales. Aún hay un 20% más especificos con RPKI inválido que no han sido corregidos, algunos de ellos aún apuntando al ASN configurado por el atacante.

  1. kentik.com/blog/digging-into-the-orange-espana-hack
  2. twitter.com/aalmenar/status/1742840921006236014
  3. cidr-report.org/as2.0
  4. radar.cloudflare.com/routing/as12479

💬 Comentarios

1
pepejil
13

Tienen un caos que no saben ni cómo meter mano.

Que aprovechen este acontecimiento para ordenar la casa: Empezar a unificar redes, activar todos los protocolos recomendados y empezar a securizar como Dios manda toda su operativa.

🗨️ 2
Rorte01
6

Pues no pides na'

rbetancor
1

Como carta a los reyes magos, no está mal lo que pides … pero me parece a mí, que no les van a traer ni un saco de carbón dulce.

No hay costumbre de hacer las cosas como se deben en los operadores españoles, ni en grandes ni en pequeños … es una situación que veo con muchas más frecuencia de la que me gustaría admitir.

aalmenar
12

No lo han hecho en años, son capaces de dejarlo así, total todo funciona. Para mí la red IP de Orange es un caos y se demuestra en los hechos. La implementación de IPv6 fue un desastre, al punto que de estar en un 20% de uso ahora es un pobre 2% y cayendo. La cantidad de prefijos que anuncian es grotesca por no decir otro palabro más gordo.

Esto que comenta @Josh está más trabajado que un hilo que publiqué en X pero que básicamente dice lo mismo.

Incluso a pesar de todo el desastre de Vodafone, son los que mejor tienen la red en cuanto a prefijos y todo, muchísimo mejor que telefónica y ambas pues lo tienen muy fácil si las comparamos con Orange.

Valga decir que Digi a pesar de ser una red muy pequeña en comparación, tienen todos sus prefijos con RPKI y su red válida que lo que entre a su red sea Válido. Hasta hace muy poco las tres marias no podían decir lo mismo y se comían todos los registros inválidos.

x.com/aalmenar/status/1742840921006236014

🗨️ 10
aalmenar
3

Me corrijo, después de hacer pruebas con cada una de la marías ha sido increíble pero:

IMG_9834IMG_9833IMG_9832

🗨️ 6
JGeek00

Yo he hecho esa prueba con fibra de Movistar y me salía en verde

🗨️ 5
aalmenar

Resulta que falla si usas IPv6, que es lo que hay por defecto en la red móvil y pronto en la fija…

🗨️ 4
skgsergio
1

Sí a mi en Fibra con IPv6 me da failed.

Black Hole

¿IPv6 por defecto en los móviles? Estoy con Jazztel y si miro el móvil, ahora mismo me da IP privada 10.166.215…

🗨️ 2
aalmenar
🗨️ 1
Josh

Acabo de añadir los enlaces del pie, que no habían salido (fíjate que en el texto si estaba el 1), pq de hecho un de ellos es tu tuit. Disculpame.

🗨️ 2
aalmenar

Nah hombre si te los has currado mucho mi tuit era una guía de brocha gorda 😆

🗨️ 1
Josh
4

Si, pero se aprende leyendo a los que estáis dentro del sector 😉

cienfuegos
1

Buenas, una desgracia lo de Orange. Todavía no entendemos porqué RIPE no exige 2FA como otros RIR cuando activas el RPKI. Y lo de los objetos mantenedores poderlos utilizar con un MD5 plano deberían de bloquearlo desde ya.

🗨️ 1
Amenhotep
2

Dirán los técnicos de Orange:

  • Yo no toco nada hasta que se vea con qué nos quedamos de MásMóvil
🗨️ 4
Meruni
9

Mas bien suele ser: "Yo no toco nada, que eso esta así por algo, que no se que puede ser porque eso se hizo años antes que nos dieran el proyecto y la documentación brilla por su ausencia, pero si toco y se rompe, luego las ostias me van a venir a mi, así que así se queda"

🗨️ 3
BocaDePezz

Si es para poner en orden todo, mejor momento que este imposible.

pegaca0

O "si funciona no lo toques".

🗨️ 1
Drak

Si tocan y la cagan, con enchufar y desenchufar la red se arregla todo, de primero de informatica jajaja

1