Tutoriales y Manuales
Entradas Mensuales
-
▼
2024
(Total:
1019
)
- ► septiembre (Total: 50 )
-
▼
enero
(Total:
124
)
- En Alemania buscan un administrador para MS-DOS y ...
- Meta presenta Code Llama 70B, un modelo open sourc...
- Opera prepara un navegador para iOS basado en inte...
- España participa en una operación mundial para des...
- Los usos curiosos que todavía damos a los disquete...
- Microsoft Edge «roba» datos personales de Chrome s...
- Elon Musk anuncia el primer humano con sus chips c...
- Amazon cancela la compra de iRobot Roomba
- Las imágenes de Taylor Swift que se hicieron viral...
- CPU funcional de 16 bits construida y ejecutada en...
- GoAccess: Analizador de Registros Web en Tiempo Real
- Buscador de Arc hace uso de la IA para crear una w...
- Los ‘deepfakes’ porno de Taylor Swift inundan X (T...
- OpenWrt tiene casi listas las especificaciones de ...
- Spotify acusa a Apple de extorsión por la nueva ta...
- El MIT anuncia una revolucionaria técnica de impre...
- AMD publica un driver para Linux que soporta sus d...
- Una vulnerabilidad en GRUB2 permitía omitir la ver...
- Explotación activa de vulnerabilidad en Atlassian ...
- Vulnerabilidad crítica en GoAnywhere
- Drainer-as-a-Service (DaaS) ¿qué son?
- Congreso Ciberseguridad Hackron XI - Tenerife 2024
- Guía Procesadores Intel Core i3, Core i5, Core i7 ...
- Microsoft despide a 1.900 empleados de Activision ...
- ¿Qué es una botnet? Conoce el control remoto de lo...
- Un nuevo bug en los teléfonos Google Pixel limita ...
- GrapheneOS: alternativa libre a Android
- Sam Altman estaría negociando con TSMC e inversion...
- La IA y la criptominería dispara el consumo de ene...
- Apple gana su primera batalla legal contra NSO Gro...
- Los horrores que viven los moderadores de Meta: “N...
- Ya disponible Parrot 6: la distribución de moda es...
- El delincuente que robó 700 mil € al Ayuntamiento ...
- Microsoft Copilot Pro: qué es, diferencias con la ...
- Google Chrome estrena funciones impulsadas por la ...
- HP asegura que bloquea los cartuchos de impresora ...
- Esta modelo gana 30K dólares al mes escuchando y h...
- Linux Lite o cómo devolver a la vida cualquier PC,...
- El FBI y CISA alertan sobre los posibles riesgos d...
- Función de seguridad "Aislamiento del núcleo" (Cor...
- La infraestructura de PyTorch fue comprometida
- Backups y Snapshots: diferencias y similitudes
- Así usan el reconocimiento facial con rostros por ...
- FraudGPT, BadGPT, WormGPT son dos modelos de ia qu...
- Francia multa con 32 millones a Amazon por el cont...
- La madre de todas las filtraciones: 12TB y 26 mil ...
- OpenWrt trabaja en un router inalámbrico
- Gestión gráfica de contenedores Docker con Portainer
- DDoSia Client: la herramienta del grupo pro-ruso N...
- La British Library, la biblioteca más completa del...
- Escape Room gratuito centrado en ciberseguridad: r...
- Vulnerabilidad en Microsoft Outlook permite extrac...
- Un chatbot de DPD insulta a un cliente
- Fallece David L. Mills: El legado del creador del ...
- Cryptomator: cifrado datos en la nube de Dropbox, ...
- Microsoft sufre un robo de correos corporativos po...
- Publican recopilación de 100 millones de contraseñ...
- Los resultados de un estudio sobre los datos que r...
- Desarrollan una batería nuclear capaz de durar 50 ...
- WebWormhole permite enviar archivos grandes sin in...
- Google Chrome soluciona el enésimo zero-day que es...
- Millones de GPU de Apple, AMD y Qualcomm están afe...
- Seagate presenta discos duros de más de 30TB
- Google Maps encuentra la solución para el mayor pr...
- Las profundidades de la privacidad digital: I2P, L...
- En españa un joven de 17 años es condenado por hac...
- En solo 5 minutos un desarrollador ha aumentado un...
- OpenAI prohíbe a políticos usar su inteligencia ar...
- Ubisoft sobre las suscripciones: "Los jugadores es...
- ¿Cuánto dinero perdería una empresa o un país en u...
- Desaparecen las licencias perpetuas de VMWare y se...
- Apple supera por primera vez a Samsung en ventas g...
- OpenAI autoriza el uso de sus sistemas de IA para ...
- Elon Musk muestra al humanoide de Tesla doblando l...
- Vulnerabilidad crítica en dispositivos de Juniper
- Una de las grandes mejoras del Galaxy S24 requiere...
- Explotación activa de vulnerabilidad Microsoft Sha...
- Google permitirá a los usuarios seleccionar qué se...
- Una empresa de etiquetado de IA contrata a trabaja...
- Una fuga de datos masiva afectaría a todos los ciu...
- Los ataques de ransomware provocan una muerte al m...
- El CEO de Twitch afirma que la plataforma de strea...
- NymConnect: App para mejorar la privacidad en Tele...
- Los medios Españoles empiezan a cobrar a los usuar...
- Descifrador gratuito para ransomware Black Basta y...
- unbound: servidor dns caché rápido y seguro con li...
- Piratas informáticos turcos hackean servidores MS ...
- China afirma haber crackeado el cifrado de Apple A...
- Un centro de salud deberá pagar una multa de más d...
- La nueva consola portátil: MSI Claw
- Mega 95, la consola portátil de Hyperkin que sopor...
- Intel presenta los Raptor Lake Refresh Mobile, nue...
- El Samsung Galaxy S24 se podrá usar como una webca...
- El Aeropuerto Internacional de Beirut, víctima de ...
- Carrefour sufre un ciberataque en Servicios Financ...
- Ransomware BlackHunt afecta a la compañía de telec...
- Alpine Linux: una Distro Linux pequeña, simple y s...
- Cómo configurar el entorno de red en Debian desde ...
- China lanzó un satélite que incluye un kernel Linu...
- El plan de Estados Unidos de regresar a la Luna 50...
-
►
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
►
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
►
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
►
2020
(Total:
212
)
- ► septiembre (Total: 21 )
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
►
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
►
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
►
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Blogroll
Etiquetas
Entradas populares
-
Después de ver qué es una vCPU y la diferencia entre núcleos (cores) e hilos en los procesadores, pasamos a explicar toda la nomenclatura d...
-
En el panorama en constante evolución de la seguridad de redes, OpnSense se ha convertido en una formidable solución de firewall. Nacido de...
-
Pese a que Gemini ofrece multitudes de opciones, recientemente, se ha dado a conocer una situación fuera de lo común. Hace unos días, un es...
Hackean la cuenta de RIPE de Orange España con la contraseña ripeadmin
Si tu operador es Orange y estás intentando navegar, pero no puedes hacerlo, seguramente sea culpa del hackeo de la cuenta de RIPE del operador. El RIPE es uno de los cinco registros regionales de Internet que hay en el mundo, y es el que corresponde a Europa, Oriente Medio y partes de Asia Central. En la madrugada de hoy, un usuario en Twitter citando a Orange, ha puesto unas capturas de pantalla del panel de administración del RIPE del operador, ha decidido modificar los objetos de ruta, se podría decir que han tirado el operador entero, y seguramente tengas problemas a la hora de navegar por Internet. La contraseña del operador Orange en RIPE era ripeadmin.
Un empleado de Orange España con un PC llamado Diego estaba infectado con el malware infostealer Raccoon.
- Diego accedió a la plataforma RIPE access.ripe.net con el email adminripe-ipnt@orange.es y la contraseña "ripeadmin", por supuesto sin doble factor de autenticación.
El Empleado del mes de Orange
El usuario descargó e instaló una supuesta versión de KMSPico
El RIPE es un organismo europeo que se encarga de supervisar la
asignación y registro de los números de recursos de Internet, es decir,
las direcciones IP y los sistemas autónomos. Los operadores registran en
la base de datos de RIPE la información necesaria para que en los
rangos de direcciones IP no existan duplicados y el tráfico de la red
llegue al host correcto. El atacante ha entrado en la cuenta de
Orange en el RIPE y modificado los prefijos de red provocando que las
otras redes rechazasen el tráfico procedente de Orange. La red del
operador ha quedado desconectada del resto y sus usuarios no podían
navegar.
Durante el día de hoy, algunos clientes del operador Orange han empezado a dar la voz de alarma, porque no pueden navegar con normalidad, sobre todo si intentan visitar webs extranjeras, donde el routing es totalmente necesario para llegar hasta ellas. Parece ser que un ciberdelincuente ha conseguido entrar en el panel de administración de RIPE, cambiar las credenciales de acceso, y hacer algunos cambios críticos que directamente han ocasionado que el operador deje de funcionar con normalidad.
¿Qué ha pasado con la cuenta de RIPE de Orange?
Un ciberdelincuente ha conseguido hacerse con el control total de la cuenta de RIPE de Orange, y como Orange no tenía activada la autenticación en dos pasos que sí tenemos disponible en RIPE, para proporcionar una autenticación fuerte. Por lo tanto, al no tener esta segunda forma de autenticación, han podido entrar fácilmente con las credenciales robadas desde septiembre.
Al acceder directamente con permisos de administrador, el ciberdelincuente puede modificar cualquier dato crítico para el buen funcionamiento de la red, y eso es justo lo que ha pasado.
Se desconoce si Orange ya ha tomado el control de la cuenta de RIPE en estos momentos, pero lo que sí podemos afirmar, es que hay una caída importante en el tráfico de su AS. En Twitter el operador Orange ya ha contactado con el ciberdelincuente, para conseguir el acceso a la cuenta de RIPE lo antes posible.
¿Qué han cambiado y por qué Orange tiene problemas?
Además de dar aviso a Orange, y pidiendo que se pongan en contacto con esa persona, ha realizado una modificación muy importante: ha cambiado los objetos ruta del protocolo BGP. Lo que ha ocurrido es que han anunciado un prefijo BGP desde un AS que no es el correcto, así que el resto de AS están denegando este tráfico ya que no esperan obtener esos prefijos por ahí. Básicamente lo que han hecho es tirar todo el operador porque ahora el sistema autónomo de Orange no puede comunicarse con otros, ya que no sabe cómo hacerlo.
Parece ser que también han activado el protocolo RPKI (Resource Public Key Infraestructure), este protocolo permite que los operadores puedan proporcionar sus recursos (sus rutas) de forma verificada gracias a certificados digitales. Activando la funcionalidad de RPKI, se puede hacer que el enrutamiento en Internet sea más seguro. Al tener configurado el RPKI, al proporcionar unos prefijos con origen otro AS, el resto de los otros sistemas autónomos (AS) de diferentes proveedores, están dando un error en el ROA (Route Origin Authorization) de los diferentes prefijos, ya que no lo aceptan, marcándolo como inválido. Básicamente toda la red de Orange está siendo rechazada por el resto de redes, porque está devolviendo un mensaje de RPKI inválido, así que hasta que Orange no solucione el problema, no podrán llegar hasta los diferentes destinos.
En estos instantes, el protocolo BGP está funcionando como debería, propagando todas las rutas, y haciendo que poco a poco todo el tráfico de Orange esté cayendo en picado, porque el resto de AS no saben qué está pasando, y se está quedando aislado. En Cloudflare Radar puedes ver en tiempo real lo que está pasando:
Si el operador Orange no se hace con el control de RIPE de nuevo, muy pronto el operador caerá por completo, ya que todos los prefijos de BGP no serán válidos, al cambiar tanto los objetos como también el RPKI. Parece ser que a las 14.00 ha habido una gran cantidad de anuncios BGP, y se sigue propagando. Hay que tener en cuenta que, cuando lo solucionen, se tardará en volver a la normalidad porque el protocolo BGP tendrá que volver a restablecer absolutamente todo, y el resto de AS deben aceptar los prefijos de BGP y validarlos, pero es que el RPKI tardará bastante más tiempo, por lo que la incidencia durará varias horas hasta que se solucione por completo.
Otros operadores pueden estar afectados (por el tráfico)
Otros operadores que dependen de Orange también podrían estar afectados, como Jazztel o Simyo. Además, puede que cierto tráfico de red de Grupo Masmóvil, Movistar, e incluso operadores pequeños como los WISP puedan tener problemas de navegación, porque el tráfico de red se quedará sin llegar a su destino.
Orange en este caso no ha sufrido un hijack típico, como los que han ocurrido en el pasado, sino que este ataque es bastante más elaborado, ya que han accedido directamente a RIPE para hacer los cambios y tirar la red entera al operador, lo cual es bastante grave. A nivel de ciberseguridad ha sido un ataque bastante serio, ya que directamente se han hecho con las credenciales del RIPE, pero es que a nivel de red es totalmente catastrófico porque afecta a todo el tráfico del operador.
¿Qué debe hacer ahora Orange?
Lo primero que debe hacer Orange en este caso, es comunicarse urgentemente con RIPE y volver a hacerse con el control total de su cuenta. Una vez dentro, lógicamente debe cambiar la contraseña y activar la autenticación en dos pasos urgentemente, para que esto no vuelva a pasar. Una vez que ya tengan acceso total a la cuenta de RIPE, deberán hacer los siguientes cambios:
- Deben eliminar el prefijo inválido que han metido con un AS que no es el correcto.
- Esperar hasta que se propague tanto el protocolo BGP, como también el RPKI, lo que puede tardar horas hasta que todo vuelva a la normalidad.
Como podéis ver, lo cierto es que este ataque es muy grave, porque directamente han tirado toda la red de Orange por el simple hecho de hackear la cuenta del RIPE.
- Mark Sokolovsky creador del Raccon Stealer
Fuentes:
https://www.redeszone.net/noticias/redes/hackean-cuenta-ripe-orange-clientes-sin-internet/
https://www.ripe.net/publications/news/ripe-ncc-access-security-breach-investigation
3 comentarios :
Que risa, que profesionalidad, que fichajes estos de Orange . Hoy en dia hasta los niños pequeños saben como crear una contraseña fuerta, y que siempre se debe tener el doble factor de autenticación activado.
Esto por dejar estas cosas en manos de un becario subcontratado (al cual despedirán) y los 8 jefes que tiene por encima, encima les daran un plus.
Esto es lo que pasa en el mundo (es totalmente ridiculo) nose como las empresas de telecomunicaciones (en especial esta) como no crean una contraseña buena y no activan el autentificacion 2 pasos. Sigo sin creer que esto es lo que pasa en el mundo y aun mas pasa en españa.
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.