Beim spanischen Ableger des französischen Internetanbieters Orange dürften sich wohl so manche Verantwortliche gerade in Grund und Boden schämen. Und wenn sie das nicht tun, sollten sie es. Immerhin ist es beim Provider zu einem Großausfall gekommen, der mit der Einhaltung von grundlegenden Sicherheitsmaßnahmen verhindert hätte werden können.

Manipulation

Das Ausmaß des Vorfalls demonstriert dabei eine Zahl: Um rund 50 Prozent war der Datenverkehr im Netz von Orange Spanien kurzfristig eingebrochen, bei vielen Usern ging vorübergehend gar nichts mehr. Der Grund dafür: Einem unbekannten Angreifer war es gelungen, in das RIPE-Konto von Orange einzubrechen und dort die Einträge für das BGP-Routing (Border Gateway Protocol) zu manipulieren und damit den Internetverkehr umzuleiten.

Das Orange-Logo auf einem Gebäude.
Bei Orange hat wer ordentlich gepatzt.
REUTERS

Ein Vorfall, der schon für sich genommen ziemlich unerfreulich ist. Wirklich peinlich sind für Orange aber die Hintergründe, die Sicherheitsexperte Kevin Beaumont aufgespürt hat. So wie es aussieht, hat jemand bereits vor mehreren Monaten das Passwort für den RIPE-Zugang erbeutet, mit dem er sich dann einfach auf der zugehörigen Webseite einloggen konnte. Ein weiterer Schutz – wie etwa Zwei-Faktor-Authentifizierung – war nicht aktiviert.

ripeadmin

Genaugenommen hätte es in diesem Fall auch gar keinen Diebstahl des Passworts gebraucht, die Angreifer hätten es nämlich auch schlicht erraten können. War es doch – und das ist kein Scherz – "ripeadmin", wie sich in weiterer Folge herausstellte.

Ein Screenshot mit den Ripe-Daten von Orange Spanien
Ein vom Angreifer selbst geteilter Screenshot zeigt das Problem auf.
Alon Gal of Hudson Rock

Kritik muss sich in diesem Zusammenhang aber auch RIPE gefallen lassen. Obwohl dieses System solch eine wichtige Rolle für die Internet-Infrastruktur innehat, müssen die Nutzer dort keine Zwei-Faktor-Authentifizierung nutzen. Doch nicht nur das, sie ist nicht einmal von Haus aus aktiviert. Auch eine Policy, die solch schlechte Passwörter verhindert, gibt es bislang nicht.

Folgen

Bei RIPE will man nun untersuchen, ob noch mehr Konten von einer Übernahme betroffen waren, und rät allen Nutzern der Plattform dringend zur Aktivierung der Zwei-Faktor-Authentifizierung. Zudem soll diese künftig von Haus aus verlangt werden, wie es bei der für die USA und andere Länder zuständigen ARIN bereits der Fall ist – allerdings auch dort erst seit wenigen Monaten. Zudem ist dort die wenig sichere SMS-Variante die Default-Wahl.

Beaumont sieht jedenfalls das Problem als wesentlich größer an, als sich bisher manifestiert hat. Auf Infostealer-Plattformen werden demnach tausende von Anmeldeinformationen für RIPE-Konten zum Verkauf angeboten. Es könnte also durchaus sein, dass es bald andere Firmen erwischt – so diese nicht eilig bei der eigenen Sicherheit nachbessern. (apo, 7.1.2024)