Jak jeden klik může vypnout celou síť: Slabiny RPKI pod lupou

Internetová směrování staví na důvěře. Operátoři sítí věří, že systémy pro autorizaci tras jsou neprolomitelné. Co ale když tu důvěru prolomí obyčejná XSS zranitelnost?

Nedávný výzkum odhalil složitý útok na RPKI infrastrukturu RIPE NCC. Tento systém chrání směrování v Evropě, na Blízkém východě a v Střední Asii. Stačí škodlivý odkaz a řada chyb v architektuře. Výsledek? Síť může zmizet z internetu.

Co je RPKI a proč vás to týká?

RPKI (Resource Public Key Infrastructure) řeší klíčový problém směrování. Jak zabránit, aby někdo ukradl vaše IP adresy a přesměroval provoz?

Funguje to přes ROA (Route Origin Authorizations). To jsou kryptografické prohlášení, které říkají, kdo smí oznamovat konkrétní IP prefixy. Tyto údaje jdou do globálního registru. Routéry je po celém světě ověřují. Na papíře dokonalé. V praxi? Jen tak bezpečné, jako webová aplikace, co to spravuje.

RPKI je v podstatě web. Má HSM moduly, rotace klíčů a audity. Ale změny v autorizacích? Probíhají přes obyčejný session cookie. Tady se to pokazilo.

Jak útok probíhá: Od odkazu k odpojení

V praxi to vypadá takto:

1. Sociální inženýrství
Útočník pošle odkaz na RIPE Atlas. To je důvěryhodný nástroj pro diagnostiku sítí od RIPE NCC. Inženýři na něj klikají často. Stačí zpráva typu „Podívej se na tu divnou trasu“.

2. Tichý XSS útok
Oběť je přihlášená do služeb RIPE NCC. Odkaz spustí XSS. Stránka vypadá normálně. JavaScript ale běží na autentizované session.

3. Převzetí ROA
Skript tiše změní všechny ROA v RPKI Dashboardu. Nahradí je pravidly „netrasovat tyto IP“. Oběť si ničeho nevšimne.

4. Síť vypadne
Během minut routéry ostatních sítí odmítají provoz. V testu výzkumník ztratil přístup k Cloudflare za 26 minut. Za hodinu 80 % sítí provoz blokovalo.

Proč to bylo tak smrtící?

Běžná XSS se stala katastrofou kvůli chybám v designu:

Sdílené session cookies mezi doménami
Přihlášení platilo napříč službami. XSS v RIPE Atlas otevřel dveře do RPKI. Důvěřuj jedné službě – riskuj všechny.

Žádná ochrana proti CSRF
Změny ROA nechránily tokeny. Stačilo navštívit stránku, žádná interakce.

Snadno vypnutá upozornění
Systém varování fungoval, ale útočník ho mohl vypnout stejným způsobem.

Skryté vstupy
Zranitelnost byla v poli pro DNS debug. Každý vstup je riziko, i když se zdá neškodný.

Dopady se šíří dál

Není to jen odpojení:

• Izolace sítě: Vypadá to jako selhání infrastruktury.
• Zmatek v provozu: Příčina není jasná, upozornění nestačí.
• Únos RIPE databáze: Útočník blokuje majitele, manuální zásah trvá dny.
• Pomoc při BGP útocích: Škodlivé trasy vypadají legitímně.

Lekce pro bezpečnost infrastruktury

Tento řetězec ukazuje klíčové body:

1. Oddělte domény
Session cookies nesmí cestovat mezi službami. Každá potřebuje vlastní autentizaci.

2. Vrstvy ochrany jsou nutnost
XSS nesmí otevřít říši. Přidejte CSRF tokeny, CSP a re-autentizaci pro důležité akce.

3. Vzdělávání nestačí
Inženýři musí klikat na odkazy. Architektura to musí zvládnout.

4. Každé pole je vstup
I DNS parametry sanitizujte.

5. Monitorink bez izolace je k ničemu
Upozornění musí být oddělená, neovladatelná útočníky.

Co se opravilo?

RIPE NCC po 14 měsících odpovědného disclosure zahltal díry:

• XSS vůbec všude.
• CSRF na všech změnách.
• Omezení cookies na domény.
• Nezávislá upozornění.
• Lepší validace vstupů.

Tipy pro vaši infrastrukturu

Spravujete DNS, RPKI nebo BGP? Zkontrolujte:

Session management. Kam cookies sahají? XSS v jedné službě ohrozí zbytek?

CSRF testy. Skenery nestačí, testujte manuálně.

Různé úrovně přihlášení. Pro klíčové změny TOTP nebo tokeny.

Předpokládejte klik. Designujte pro škodlivé odkazy.

Všechny vstupy untrusted. Validujte všude.

Nelichotivá realita

Tento útok unikl běžným kontrolám. Kombinuje DNS, webovku a BGP. Rozhodnutí samostatně OK, dohromady katastrofa.

Směrovací systémy potřebují extra bezpečnost. Nejsou to obyčejné weby. Jeden klik, 80 % provozu pryč, dny obnovy. Teď je to opravené, ale slabé články se skrývají všude. Hledejte je.