Análisis y opinión del hackeo a Orange del 3 de enero de 2024

En este post del SOC me gustaría explicar des de mi óptica y experiencia, lo sucedido en las redes de Orange ayer 3 de enero de 2024, ya que es un hecho inédito que será explicado en las universidades durante mucho tiempo. Voy a tratar de explicarlo con el lenguaje “menos técnico” y más entendible posible para el público general.

Sobre las 16h de la tarde algunos compañeros y clientes nos empezaron a reportar que no podían acceder a según qué recurso web ya sea de Infordisa o de terceros. En ese momento empezamos a investigar si es un error en nuestra red y nos encontramos con una caída a gran escala de los servicios de Orange a través de DownDetector.

Empiezo a investigar por X.com (antes Twitter) y me encuentro un tweet de un tal MS_Snow_OwO de hacia 14h con relativamente poca actividad (en ese momento) indicando que les ha hackeado la cuenta de admin de Orange España en la base de datos de RIPE y que se pusieran en contacto con ellos para que se las devolviera (un secuestro, vamos). Es tan surrealista que a priori pienso que es un “espabilao” que se ha juntado con la casualidad de la caída.

Pues no. Después me encuentro varias referencias y más tweets indicando que efectivamente, la realidad supera la ficción, y alguien había realizado “modificado las configuraciones” (dejémoslo así) de las redes de Orange en RIPE, lo que hacía que los otros operadores (ISP) denegaran el acceso a muchas de las IP (páginas web, servicios, etc) que gestiona Orange o atraviesan redes de Orange. Para entender un poco el alcance de lo sucedido, en cloudflare podemos ver una caída del 50% del tráfico en las redes de Orange durante 2 horas:

Overview de AS12479 de Cloudflare Radar

Entonces, ¿cómo es que 14 horas más tarde del anuncio del hackeo, es cuando cae todo? Muy sencillo. Los protocolos BGP que son los que permiten a los routers de los operadores, comunicarse entre sí (dejo video explicativo de cómo funciona BGP para los más curiosos), a esta escala internacional, puede tardar entre 12 y 24h en actualizarse (y eso es lo que como mínimo va a tardar en volver todo a la normalidad). Esto lo vemos porque de repente, sobre las 16:00 (14:00 UTC) este ASN de Orange (empieza a anunciar Muchísimos cambios BGP (estos cambios en las configuraciones que decía antes), y a partir de ahí las caídas:

Overview de AS12479 de Cloudflare Radar

NOTA: Un ASN es un es una colección de direcciones IP y routers bajo el control de una entidad o organización que opera de manera autónoma en la red de Internet)

Hay que remarcar que este AS12479 de Orange, gestiona alrededor de 7 millones de IPs (entre empresas, usuarios, etc), tal como podemos ver en BGPView:

AS12479 Orange Espagne SA BGP Network Information - BGPView

Entonces, ¿cómo ha podido suceder esto?

Al parecer un admin de Orange ES llamado “DIEGO” tenía un Malware Infostealer  y le habían capturado las credenciales de acceso a RIPE, tal como se muestra en esta captura que ya ronda por internet:

De aquí se concluyen 2 errores gravísimos para una de las cuentas más críticas de internet:

  1. La contraseña es extremadamente débil “ripeadmin” y fácil de deducir. Y probablemente no se ha cambiado desde su creación (1999) …
  2. El doble factor para acceder a https://access.ripe.net/ con el usuario adminripe-ipnt@orange.es no estaba activado.

Este es el nivel de Seguridad en España, señores 🤔

Sobre las 10:00h de la noche de ayer, el propio Hacker hacia un nuevo POST confirmando lo indicado que simplemente estaba curioseando filtraciones públicas de datos de bots y se encontró por casualidad las credenciales de acceso a RIPE y sin 2FA.

O sea, esa información de acceso estaba allí, ¡¡¡a saber desde cuando!!!🤦‍♂️

Para terminar, me sorprende que el acceso a algo tan crítico como es la base de datos de RIPE sea público. Teniendo en cuenta que son los que controlan las redes de internet, ¿no se podría aplicar filtros de acceso según IPs que controlan los propios ASN? No sé, ahí lo dejo.

Gracias por la lectura.

Comparte este contenido:

Deja un comentario

Calendario Ciberseguridad /24

LIVE WEBINAR | 1/2/2024

Cómo proteger tu Active Directory de ataques Ransomware con Tenable

Alertas de seguridad

Recibe las más importantes a tu email