Et enkelt klik kan lægge et netværk i stykker: RPKI-sikkerhedens svage led

Internettets routing hviler på tillid. Netværksoperatører regner med, at systemerne bag route-autorisationer er sikre. Men hvad hvis et simpelt cross-site scripting-hul knækker den tillid?

Ny forskning afslører en angrebskæde mod RIPE NCC's RPKI-infrastruktur. Den sikrer routing i Europa, Mellemøsten og Centralasien. Et ondt link plus designfejl kan isolere et helt netværk fra nettet.

Hvad er RPKI, og hvorfor betyder det noget for dig?

RPKI (Resource Public Key Infrastructure) løser et kæmpe routing-problem: Hvordan stopper vi hijacking af IP-adresser?

Systemet bruger Route Origin Authorizations (ROAs). Det er kryptografiske beviser på, hvem der må annoncere specifikke IP-præfikser. ROA'er publiceres globalt og tjekkes af routere verden over. Teoretisk usårligt. I praksis afhænger det af en webapp.

RPKI er bare en hjemmeside.
Med HSM'er, nøglerotationer og audits. Men ændringer sker via almindelige session-cookies. Der starter problemerne.

Angrebet trin for trin: Fra link til isolering

Sådan løber angrebet:

Trin 1: Social engineering
Angriberen laver et link til RIPE Atlas – et betroet værktøj til netværksdiagnostik. Ingen tøver med at klikke på "Tjek din routing – noget er galt".

Trin 2: Usynlig XSS-udnyttelse
Hvis brugeren er logget ind et sted på RIPE NCC, udløser linket XSS. Siden ser normal ud. Men JavaScript kører i baggrunden på den autentificerede session.

Trin 3: Total ROA-overtagelse
Payloaden ændrer alle ROA'er i RPKI Dashboard. De nye siger "rout ikke disse IP'er". Brugeren merker intet.

Trin 4: Netværket forsvinder
Routere fanger de forfalskede ROA'er op. Trafik droppes. I et testtogt tog det 26 minutter at miste Cloudflare-adgang. Efter en time? 80% af netværkerne ignorerede offeret.

Hvorfor blev XSS et atomvåben?

Flere fejl forværrede det:

Delt session-cookie på tværs af domæner
En fejl i RIPE Atlas gav adgang til RPKI Dashboard. Tillid en tjeneste – mist dem alle.

Intet CSRF-beskyttelse
State-changing handlinger mangler tokens. Et besøg på siden er nok.

Slå alerts fra
Notifikationer om ROA-ændringer kan deaktiveres via det sårbare interface.

Skjulte indgangsporte
Hullet sad i DNS-debug-felter. Alt input er en risiko, selv det trivielle.

Følgerne breder sig

Isoleringen er kun starten:

• Netværksdød: Ser ud som total krak.
• Forvirring: Årsagen er uklar. Alerts siger ikke "ROA ændret".
• RIPE Database-kapring: Angribere låser ejere ude – kræver manuelt RIPE-indgreb i dagevis.
• Hjælp til BGP-hijacking: Forfalskede ROA'er gør ondt mere troværdigt.

Lektioner til infrastruktur-sikkerhed

Denne kæde viser svage punkter:

1. Domænegrænser er afgørende
Session-cookies på tværs skaber farlige tillidsbroer. Brug streng separation og egen auth pr. tjeneste.

2. Lag-på-lag forsvar er must
XSS må ikke give infrastruktur-kontrol. Tilføj CSRF, CSP og re-auth til kritiske handlinger.

3. Brugere klikker – planlæg det
Netingeniører skal undersøge links. Sikkerhed skal overleve klikket.

4. Alle felter er mål
DNS-params og metadata? Behandl som højrisiko-input.

5. Overvågning skal være uafhængig
Alerts må ikke slås fra af angribere.

Hvad er rettet?

RIPE NCC fik det patched efter 14 måneders ansvarlig disclosure:

• XSS rettet på tværs af tjenester.
• CSRF på alle ændringer.
• Cookie-domæner strammet.
• Uafhængige alerts.
• Bedre input-validering.

Tips til din infrastruktur

Kører du DNS, RPKI eller BGP? Tjek dette:

Auditer sessioner. Hvor virker cookies? Kan XSS hoppe tjenester?

Test CSRF hårdt. Scannere misser ofte.

Niveauer af auth. Kræv TOTP eller token til vigtigt.

Forvent klik. Design mod social engineering.

Valider alt. Intet input er trygt.

Den hårde sandhed

Angrebet ramte blinde vinkler: Tværgående domæner, mix af DNS/web/BGP-viden. "Bare en hjemmeside" holder ikke til kritisk routing.

Routing er internettets hjerte. Det kræver ekstrem sikkerhed. Et klik. 80% tabt trafik. Dage med genopretning. Nu fikset – men svage led gemmer sig stadig.