Един клик, който руши цяла мрежа: Уязвимостите в RPKI

Интернетът разчита на доверие за своята маршрутизация. Операторите вярват, че системите за контрол на маршрути са непробиваеми. Ами ако това доверие се пробие с обикновена XSS уязвимост?

Недавно проучване разкри сложна атака срещу RPKI инфраструктурата на RIPE NCC – ключовата система за сигурност на маршрутизацията в Европа, Близкия изток и Централна Азия. Всичко започва с един зловреден линк и се превръща в пълен отрязване на мрежа от интернет.

Какво е RPKI и защо да ви е притрябвало?

RPKI (Resource Public Key Infrastructure) решава основен проблем: как да спрем някой да обяви вашите IP адреси и да открадне трафика ви.

Системата работи с ROA (Route Origin Authorizations) – криптографски декларации, които казват кои мрежи могат да обявяват дадени IP префикси. Те се публикуват в глобален регистър и рутерите по света ги проверяват. На теория – перфектно. На практика – зависи от уеб приложението, което ги управлява.

Неприятната истина? RPKI е просто сайт. Има HSM модули, ротации на ключове и одити, но промяната на ROA става чрез обикновен session cookie. Тук започват проблемите.

Атаката стъпка по стъпка: От линк до изолация

Ето как става на практика:

Крачка 1: Социална манипулация
Атакуващият прави линк към RIPE Atlas – надежден инструмент за диагностика на мрежи от RIPE NCC. Инженерите често кликват такива линкове. Съобщение като „Виж тая странна маршрутизация“ е достатъчно.

Крачка 2: Тихо изпълнение
Ако инженерът е логнат в RIPE услуга, линкът задейства XSS. Страницата изглежда нормално, но JavaScript работи на автентицираната сесия.

Крачка 3: Пълен контрол над ROA
Кодът променя всички ROA в RPKI Dashboard. Те стават „не маршрутизирай тези IP“. Жертвата не подозира нищо.

Крачка 4: Отрязване от интернет
След минути рутерите по света започват да игнорират трафика. В тест изследвачът загуби достъп до Cloudflare за 26 минути. След час – 80% от мрежите го изключиха.

Защо стана толкова лошо?

Обикновена XSS се превърна в апокалипсис заради архитектурни грешки:

Общи session cookies между домейни
Услугите на RIPE споделят сесии. XSS в RIPE Atlas отваря врата към RPKI Dashboard. Едно уязвимо място руши всичко.

Липса на CSRF защита
Нямаше защита за променящи операции. Достатъчно е да отвориш линка – без кликване.

Лесно изключвани警报и
Системата за известия се изключва през същото уязвимо място. Жертвата остава насмъртна.

Скрити входове
Уязвимостта беше в DNS дебъг полета – „невинни“ полета, които никой не е проверявал. Всяко поле е потенциална врата.

Последиците са масивни

Не става дума само за отрязване:

• Изолация на мрежа: Трафикът спира, сякаш има крах.
• Хаос в операциите: Проблемът не е ясен.警报ите не сочат към ROA промени.
• Хайджак на RIPE база: Атакуващият може да заключи и други обекти – възстановяването отнема дни.
• Помощ за BGP хайджак: Зловредни маршрути стават „легитимни“.

По-широки уроци за сигурността

Тази атака учи на твърди факти:

1. Границите между системи са ключови
Не позволявай session cookies да пътуват между домейни. Всяка услуга – отделна автентикация.

2. Многослойна защита е задължителна
Една XSS не трябва да дава контрол. Добави CSRF токени, строги CSP и повторна автентикация за критични стъпки.

3. Обучението не стига
Инженерите кликват линкове по професия. Архитектурата трябва да издържи това.

4. Всеки вход е риск
Дори DNS параметри – трети ги като заплаха. Валидирай всичко.

5. Мониторингът трябва да е независим
警报ите не се отключват от атакуващия.

Какво се поправи?

RIPE NCC поправи след 14-месечно отговорно разкриване:

• XSS в няколко служби.
• CSRF за всички промени.
• Ограничени домейни за cookies.
• Независими警报и.
• По-добра валидация на полета.

Съвети за вашата инфраструктура

Ако управлявате DNS, RPKI, BGP или подобни:

Проверете session архитектурата. Къде работят cookies? XSS в едно място ли руши всичко?

Тествайте CSRF зле. Автоматичните скенери пропускат сложни случаи.

Разделете нива на автентикация. Изисквайте TOTP или токени за критични действия.

Планирайте за клик. Потребителите ще отварят линкове – системата трябва да оцелее.

Не вярвайте на нищо. Валидирай всеки вход, колкото и малък да е.

Голямото събудяване

Тази атака мина покрай стандартните одити. Пресича домейни, DNS, уеб и BGP експертиза. Архитектурни решения, които самостоятелно са ОК, заедно са бомба.

Маршрутизацията е основата на интернетът. Системите като RPKI заслужават повече от обикновена уеб сигурност. Един клик. 80% загуба. Дни за възстановяване. Сега е поправено, но слабите звена са навсякъде – търсете ги.