Хакер #305. Многошаговые SQL-инъекции
Организация RIPE NCC является одном из пяти региональных интернет-регистраторов (RIR), выполняющих распределение интернет-ресурсов, а также связанную с этим регистрацию и координацию деятельности. В частности RIPE NCC управляет пространством IP-адресов в Европе, на Ближнем Востоке и части Центральной Азии. Членами RIPE NCC выступают более 20 000 организаций в 75 странах (обычно это крупные интернет-провайдеры и корпорации), которые работают в качестве локальных интернет-регистраторов (LIR) и занимаются распределением пространства IP-адресов среди других организаций и компаний в своей стране.
На этой неделе представители RIPE NCC сообщили, что недавно организацию пытались взломать.
«В прошлые выходные RIPE NCC Access, наш сервис single sign-on (SSO), пострадал в результате злонамеренной атаки типа credential-stuffing, что привело к небольшому простою», — гласит заявление RIPE NCC.
Напомню, что термином credential-stuffing обозначают ситуации, когда имена пользователей и пароли похищаются с одних сайтов, а затем используются против других. То есть злоумышленники имеют уже готовую базу учетных данных (приобретенную в даркнете, собранную самостоятельно и так далее) и пытаются применить эти данные, чтобы авторизоваться на каких-либо сайтах и сервисах под видом своих жертв.
RIPE NCC Access используется для входа на все сайты RIPE, включая My LIR, Resources, RIPE Database, RIPE Labs, RIPEstat, RIPE Atlas, а также the RIPE Meeting. Компрометация любой учетной записи могла создать огромные проблемы, как для самой организации, так и для владельцев учетных записей.
Дело в том, что, к примеру, RIPE NCC официально исчерпала IPv4-адреса еще в ноябре 2019 года, а в настоящее время за адресами IPv4 во всем мире идет настоящая охота: они пользуются огромным спросом, в том числе и на черном рынке. Этот рынок регулярно подпитывается захваченными блоками адресов IPv4, а его клиентами обычно выступают различные хак-группы, которые, например, используют захваченные блоки адресов, для рассылки спама и обхода фильтров.
Хотя расследование инцидента еще продолжается, уже сообщается, что специалистам RIPE NCC удалось противостоять атаке, и ни один аккаунт в итоге не был взломан. Всем членам организации теперь настоятельно рекомендуется включить двухфакторную аутентификацию для учетных записей Access.