Ein Klick, und das Netz ist lahmgelegt: RPKI-Schwachstellen im Fokus

Das Internet-Routing basiert auf Vertrauen. Betreiber setzen auf sichere Systeme für Routenfreigaben. Doch ein simpler Fehler wie eine XSS-Lücke kann das alles kippen.

Neueste Sicherheitsforschung zeigt eine clevere Angriffskette gegen die RPKI-Infrastruktur von RIPE NCC. Das System sichert Routing in Europa, Nahost und Zentralasien. Ein bösartiger Link plus Designfehler – und ein ganzes Netz fliegt aus dem Internet raus.

RPKI einfach erklärt: Warum es dich angeht

RPKI steht für Resource Public Key Infrastructure. Es löst ein Kernproblem im Routing: Wie verhindern wir, dass Fremde deine IP-Adressen kapern und Traffic umleiten?

ROAs – Route Origin Authorizations – sind kryptografische Nachweise. Sie definieren, wer welche IP-Präfixe ankündigen darf. Die landen in einer globalen Datenbank, Router prüfen sie weltweit. Klingt wasserdicht. Ist es aber nur so sicher wie die Weboberfläche drumherum.

Die harte Wahrheit: RPKI läuft über eine Website. Mit HSMs, Key-Rotation und Audits. Aber Änderungen? Die passieren per Session-Cookie in einer normalen Web-App. Genau da lag der Hase im Pfeffer.

So läuft der Angriff: Vom Link zur Netzabschottung

Der Chain in der Praxis:

Schritt 1: Locken mit Köder Angreifer bastelt einen Link zu RIPE Atlas, dem bewährten Diagnosetool von RIPE NCC. Netzwerk-Engineer klicken so was ständig. "Schau mal, komische Routing-Issue" – zack, geklickt.

Schritt 2: XSS im Hintergrund Victim ist eingeloggt? Der Link feuert XSS ab. Seite lädt normal, nichts Verdächtiges. Aber JavaScript nutzt die Session aus.

Schritt 3: ROA-Übernahme Payload überschreibt alle ROAs im Dashboard. Neue Regel: "Diese IPs nicht routen." Betreiber merkt nichts.

Schritt 4: Absturz Router weltweit holen die falschen ROAs. Traffic vom Opfer-Netz wird blockiert. In Tests: Nach 26 Minuten Cloudflare weg, nach Stunde 80 Prozent Traffic im Eimer.

Warum das zur Katastrophe wurde

Ein paar Designentscheidungen machten aus XSS eine Massenvernichtungswaffe:

Gemeinsame Session-Cookies Cookies wirkten über Dienste hinweg. XSS in Atlas öffnet Türen zum RPKI-Dashboard. Einmal trusten, alle fallen.

Kein CSRF-Schutz Keine Tokens bei Änderungen. Einfacher Seitenbesuch reicht.

Abschaltbare Alarme Benachrichtigungen bei ROA-Änderungen? Deaktivierbar über dieselbe Lücke. Blindflug garantiert.

Versteckte Einstiege Die XSS saß in DNS-Debug-Feldern. Regel: Jeder Input ist riskant, egal wie harmlos.

Die Wellen schlagen höher

Mehr als nur Offline:

• Netz-Isolierung: Sieht aus wie Totalausfall.
• Chaos in der Ops: Ursache unklar, Alarme vage.
• RIPE-DB-Übernahme: Andere Objekte hackbar, manuelle Rettung dauert Tage.
• Hilfe für Hijacks: Falsche ROAs machen BGP-Angriffe leichter.

Große Lehren für Infra-Sicherheit

Diese Kette zeigt:

1. Grenzen zählen Kritische Systeme isolieren. Keine cross-domain Cookies, separate Logins.

2. Tiefe Verteidigung XSS allein sollte nichts killen. CSRF-Tokens, CSP, Re-Auth für Sensibles.

3. User-Training reicht nicht Engineer müssen Links checken. Security muss das aushalten.

4. Harmlose Felder prüfen DNS-Params sind Goldgruben für Hacker. Überall validieren.

5. Monitoring unabhängig Alarme dürfen nicht selbst deaktivierbar sein.

Was wurde gefixt?

RIPE NCC hat nach 14 Monaten Disclosure gepatcht:

• XSS in diversen Services.
• CSRF überall.
• Cookie-Domains getrennt.
• Alarme tamper-proof.
• Input-Validierung verstärkt.

Tipps für deine Infra

DNS, RPKI, BGP – check das: Sessions auditieren. Wo wirken Cookies? XSS-Übertrag möglich?

CSRF testen. Scanner allein reichen nicht.

Auth-Stufen. Step-up für Kritik: Passwort, TOTP, Token.

Angenommen: Klick passiert. Defenses müssen überleben.

Alles untrusted. Volle Validierung überall.

Der Stachel bleibt

Solche Chains fliegen in Reviews unter. Sie verbinden DNS, Web-Sec und BGP. Harmlos getrennt, tödlich kombiniert.

Routing ist Lebensader des Internets. "Nur eine Website" reicht nicht. Bei Automatisierung braucht's Top-Security.

Ein Klick. 80 Prozent weg. Tage Chaos. Jetzt gefixt – aber die schwache Kette mahnt: Schaut in alle Ecken.