Ripe-Konto geknackt: Internetstörungen nach Angriff auf Orange in Spanien

Bei dem französischen Netzbetreiber Orange ist es in Spanien kürzlich zu einem Sicherheitsvorfall gekommen, der massive Internetausfälle und einen vorübergehenden Einbruch des Datenverkehrs um fast 50 Prozent zur Folge hatte. Angriffspunkt war wohl ein schwaches Passwort für das Ripe-Konto des Anbieters, das durch eine Infostealer-Malware abgegriffen wurde.

Bei Ripe handelt es sich um eine Registrierungsstelle, die für die Vergabe von IP-Adressbereichen in Europa, dem Nahen Osten und Teilen von Zentralasien zuständig ist. Über das Ripe-Konto von Orange konnte der Angreifer die Konfiguration für das BGP-Routing des Internetanbieters manipulieren, erklärte der Sicherheitsforscher Kevin Beaumont in einem Blogbeitrag.

Im Anschluss äußerte sich der Angreifer selbst auf X unter dem Pseudonym Snow zu dem Vorfall und teilte Screenshots aus dem infiltrierten Ripe-Konto.

Auch andere europäische Anbieter sind wohl gefährdet

Laut Beaumont wurde das Passwort schon im August des vergangenen Jahres abgegriffen und später weiterverkauft. Als sicher galt es ohnehin nicht: Es handelte sich um die Zeichenfolge ripeadmin.

In diesem Zuge kritisierte der Sicherheitsforscher auch den Mangel an soliden Passwortrichtlinien bei Ripe sowie die Tatsache, dass die Organisation zwar eine Multi-Faktor-Authentifizierung (MFA) anbiete, diese aber bisher weder zum Standard noch zur Pflicht gemacht habe. Bei der für den US-Markt zuständigen Internet Registry Arin sei die Verwendung der MFA hingegen seit Februar 2023 verpflichtend.

Obendrein warnte Beaumont davor, dass das Risiko vergleichbarer Angriffe auch für andere Internetanbieter in ganz Europa bestehe. Auf Infostealer-Marktplätzen würden bereits Tausende von Anmeldeinformationen für Ripe-Konten zum Verkauf angeboten. "Ich erwarte, dass wir jetzt eine Welle von Ausfällen von Netzwerken sehen werden, da die Katze aus dem Sack ist", sagte der Forscher.

Ripe will nachbessern

Orange erlangte den Zugriff auf das infiltrierte Ripe-Konto inzwischen wieder zurück und korrigierte die beschädigte Routingkonfiguration. Kundendaten seien durch den Vorfall zu keinem Zeitpunkt gefährdet gewesen, betonte der Anbieter in einem X-Beitrag.

Ripe schrieb derweil Beaumont in einer E-Mail, die Organisation arbeite bereits daran, die Verwendung der MFA "so schnell wie möglich für alle Ripe NCC Access-Konten" vorzuschreiben. Darüber hinaus wolle das Unternehmen langfristig eine breitere Palette von Verifizierungsmechanismen anbieten. Eine Stellungnahme zu dem Vorfall bei Orange ist auf der Webseite von Ripe zu finden.