Yksi klikkaus riittää katkaisemaan verkon: RPKI:n haavoittuvuudet paljastettu

Internetin reititys nojaa luottamukseen. Operaattorit luottavat siihen, että reittivaltuutukset ovat turvassa. Entä jos yksinkertainen XSS-haavoittuvuus murentaa kaiken?

Tuore tutkimus paljasti hyökkäysketjun RIPE NCC:n RPKI-järjestelmässä. Tämä Euroopan, Lähi-idän ja Keski-Aasian reitistöturvallisuudesta huolehtiva infra kaatui helposti. Hyökkääjä tarvitsi vain pahantahtoisen linkin ja muutaman arkkitehtuurin heikkouden. Verkko eristyi netistä hetkessä.

Mikä RPKI on ja miksi se kiinnostaa?

RPKI eli Resource Public Key Infrastructure estää IP-osoitteiden kaappauksia. Se käyttää ROA-tiedostoja eli reittiperusteisia valtuutuksia. Nämä kryptografiset ilmoitukset kertovat, ketkä saavat julistaa tiettyjä IP-etuja.

ROA:t tallennetaan globaaliin rekisteriin. Reitittimet tarkistavat ne maailmanlaajuisesti. Ideana on vedenpitävä turva. Todellisuudessa turvallisuus riippuu web-sovelluksesta, joka hallinnoi valtuutuksia.

RPKI on pohjimmiltaan vain verkkosivusto. Siellä on HSM-moduuleja, avainkiertoja ja SOC 2 -tarkastuksia. Mutta ROA-muutokset tehdään tavallisella sessioevästeellä. Täältä alkoi ongelma.

Hyökkäysketju: Linkistä eristykseen

Näin hyökkäys etenee käytännössä:

Vaihe 1: Sosiaalinen manipulointi
Hyökkääjä lähettää linkin RIPE Atlakseen, RIPE NCC:n luotettuun diagnostiikkatyökaluun. Operaattorit klikkaavat näitä jatkuvasti. Viesti kuten "Tarkista tämä reitti-ongelma" houkuttaa.

Vaihe 2: Hiljainen lasti
Jos kohde on kirjautuneena RIPE-palveluun, linkki käynnistää XSS:n. Sivu näyttää normaalilta. Taustalla JavaScript pyörii autentikoidulla sessiolla.

Vaihe 3: Täysi valtaus
Lasti muokkaa kaikki ROA:t RPKI Dashboardissa. Ne muuttuvat muotoon "älä reititä näitä IP-osoitteita". Operaattori ei huomaa mitään.

Vaihe 4: Eristys
Muut verkot ottavat uudet ROA:t käyttöön. Liikenne uhrista torjutaan. Testissä Cloudfliren yhteys katkesi 26 minuutissa. Tunnin jälkeen 80 % verkoista hylkäsi kaiken.

Miksi tämä oli täydellinen myrsky?

Tavallinen XSS muuttui tuhoaseeksi näiden takia:

Yhteiset sessioevästeet domaineissa
RIPE-palvelut jakoivat evästeitä. XSS Atlaksessa avasi oven RPKI Dashboardiin. Luota yhteen, kaatuu kaikki.

CSRF-suoja puuttui
Muuttavat operaatiot eivät tarkistaneet pyyntöjä. Sivun avaaminen riitti.

Helposti pois kytkettävät hälytykset
ROA-muutoksista varoittavat systeemit sai hiljennettyä samasta haavoittuvuudesta.

Piilotetut sisäänkäynnit
XSS piileskeli DNS-debug-kentissä. Muistutus: kaikki inputit ovat riskejä.

Laajempi tuho

Eristys oli vasta alkua:

• Verkkojen katkos: Liikenne pysähtyy, näyttää siltä kuin infra romahti.
• Sekasorto: Syytä ei heti näe. Hälytykset eivät kerro ROA-muutoksista.
• RIPE-tietokannan valtaus: Muutkin objektit kaapattiin, lukot auki vasta manuaalisesti päiviä myöhemmin.
• Reitti-kaappaukset: Pahat reitit näyttivät laillisilta.

Oppitunteja infra-turvalle

Tämä ketju opettaa:

1. Doimien rajat ratkaisevat
Erota kriittiset systeemit. Sessioevästeet yli rajojen luovat heikkouksia. Käytä erillisiä autentikointeja.

2. Kerroksittainen suoja pakollista
Yksi XSS ei saa kaataa kaikkea. Lisää CSRF-tokenit, CSP ja uudelleenautentikointi kriittisille toimille.

3. Käyttäjien koulutus ei riitä
Tekniset linkit klikataan. Suunnittele, että klikkaus tapahtuu.

4. Pienetkin kentät vaarallisia
DNS-parametrit ja metatiedotkin tarvitsevat validointia.

5. Seuranta erillään
Hälytykset eivät saa olla muokattavissa hyökkääjän toimesta.

Mitä korjattiin?

RIPE NCC paikkasi 14 kuukauden vastuullisen ilmoituksen jälkeen:

• XSS:t useista palveluista.
• CSRF kaikille muutoksille.
• Evästeiden doimikiristykset.
• Riippumattomat hälytykset.
• Input-validointi unohdettuihin kenttiin.

Mitä sinun infraasi varten?

Jos hallitset DNS:ää, RPKI:tä tai BGP:tä:

Tarkista sessioarkkitehtuuri. Missä evästeet toimivat? XSS yhdestä leviääkö?

Testaa CSRF kunnolla. Skannerit eivät löydä kaikkea.

Erottele autentikoinnit. Kriittisiin hommiin TOTP tai token uudelleen.

Oleta klikkaus onnistuu. Suojaa siltä.

Validointi kaikkialle. Ei poikkeuksia.

Karu fakta

Tämä ketju jäi perinteisiltä tarkastuksilta huomaamatta. Se ylitti doimit, osa-alueet ja arkkitehtuurin. Reititys on elintärkeää. "Vain sivusto" -ajattelu ei kelpaa. Yksi klikkaus, 80 % katkos, päiviä korjausta. Ketjut ovat yhtä vahvoja kuin heikoin lenkki – ja ne piileskelevät odottamattomissa paikoissa.