Egy kattintás, ami hálózatot dönthet ki: RPKI biztonsági rések titkai

Az internet útválasztása bizalomra épül. A hálózati szakemberek bíznak a route jogosultságokat kezelő rendszerekben. De mi történik, ha ez a bizalom egy sima cross-site scripting hibával meginog?

Friss kutatás fedett fel egy rafinált támadást a RIPE NCC RPKI rendszere ellen. Ez kezeli a routing biztonságot Európában, a Közel-Keleten és Közép-Ázsiában. A támadás egyszerű: egy rossz link, plusz pár tervezési hiba, és a hálózat eltűnik az internetről.

Mi az az RPKI, és miért érdekel téged?

RPKI, azaz Resource Public Key Infrastructure, az internet válasza a routing biztonsági gondjaira. Megakadályozza, hogy bárki ellopja az IP-címeidet és átirányítsa a forgalmadat.

ROA-kkal, azaz Route Origin Authorizationökkel működik. Ezek kriptográfiai nyilatkozatok, hogy ki hirdethet bizonyos IP-prefixe-ket. Globális regiszterben tárolódnak, a routerek ellenőrzik őket. Elvileg sziklaszilárd. Valójában csak annyira biztonságos, amennyire a kezelő webapp.

RPKI lényegében egy weboldal. Van benne HSM, kulcsforgatás, SOC 2 audit. De a ROA-kat módosító rész? Átlagos session cookie-val védett webes felület. Itt kezdődtek a gondok.

A támadási lánc: ártatlan linktől a teljes elszigetelésig

Így zajlik a valóságban:

1. Lépés: Társadalmi manipuláció
Készít a támadó egy linket a RIPE Atlasra, ami megbízható diagnosztikai eszköz. Mérnökök naponta kattintanak ilyet. "Nézd meg ezt a routing hibát!" – és máris kattintanak.

2. Lépés: Csendes kódfuttatás
Ha a mérnök be van jelentkezve RIPE NCC-be, a link XSS-t indít. Semmi gyanús: a oldal betöltődik. De háttérben JavaScript fut a bejelentkezett sessionben.

3. Lépés: Routing átvétel
A kód minden ROA-t átír a RPKI Dashboardban. Új üzenet: "ne routolj ezekre az IP-kre". A tulajdonos semmit sem sejt.

4. Lépés: Kapcsolat megszakad
Pár perc alatt a többi hálózat feldolgozza az új ROA-kat. Elutasítják a forgalmat. Tesztben 26 perc után Cloudflare kiesett, egy óra múlva 80% a hálózatokból.

Miért lett ebből katasztrófa?

Pár rossz döntés emelte XSS-t atombombává:

Közös session cookie-k domainek között
RIPE szolgáltatások osztoztak a cookie-n. XSS az Atlasban = hozzáférés a RPKI-hoz. Ha egyet megbízol, mindet kockáztatod.

Gyenge CSRF védelem
Nincs vagy hatástalan CSRF a változásokat okozó műveleteken. Elég megnézni a linket, interakció nélkül.

Kikapcsolható riasztások
Értesítések vannak ROA-változáskor, de ugyanazon a gyenge felületen kikapcsolhatók. Vakon marad a felhasználó.

Rejtett bejáratok
A hiba nem a Dashboardban volt, hanem DNS debug mezőkben. Minden input támadási pont, még a "nem fontos" is.

A láncreakció hatásai

Nem csak kikapcsolás:

• Hálózati elszigetelődés: Úgy tűnik, mintha infrastruktúra omlott volna össze.
• Zűrzavar: Nem egyértelmű az ok, riasztások félrevisznek.
• RIPE adatbázis átvétel: Támadó lockolhatja a tulajdonost, manuális beavatkozás kell – napokig.
• BGP támadások segítése: Hamis ROA-k legitimálhatják a rossz route-okat.

Nagyobb tanulságok infrastruktúrához

Ez a lánc kulcsfontosságú leckék:

1. Domain határok kellenek
Kritikus és kevésbé kritikus rendszereket szét kell választani. Cookie-k ne ugráljanak domainek között, saját auth mindenhol.

2. Többrétegű védelem kötelező
Egy XSS ne adjon infrastruktúra-kontrollt. CSRF tokenek, szigorú CSP, újraauth kritikus lépésekre.

3. Felhasználó-képzés nem elég
Mérnököknek kattintaniuk kell gyanús linkekre – ez a munkájuk. A biztonság tűrje ezt.

4. Minden mező veszélyes
DNS paraméterek, metaadatok – kezeld őket szigorúan, ne legyél laza.

5. Független monitorozás
Riasztások ne kapcsolhatók ki a támadással. Külön rendszerek kellenek.

Mit javítottak?

RIPE NCC 14 hónapos disclosure után foltozott:

• XSS-ek több szolgáltatásban.
• CSRF minden változásra.
• Cookie domain korlátozás.
• Független riasztások.
• Input validáció a rejtett mezőkben.

Mit vigyél magaddal saját rendszereidhez?

DNS, RPKI, BGP üzemeltetésnél ellenőrizd:

Session architektúra audit. Hol működnek cookie-k? XSS egyik helyen másikat dönt?

CSRF teljes teszt. Scanner-ek gyakran kimaradnak.

Auth szintek szétválasztása. Kritikus műveletnél lépj fel: újra jelszó, TOTP, token.

Tegyél fel klikk sikerét. Védelem túlélje a rossz linket.

Minden input gyanús. Validálj következetesen mindenhol.

A kényelmetlen valóság

Ez a támadás olyan rést mutat, amit szokásos review-k kihagynak. Több domain, szakértelem kell hozzá (DNS, websec, BGP), és ésszerű döntések kombinációja robban.

Az útválasztás kritikus. "Csak egy weboldal" alapú rendszereknek extrém biztonságot kell. Egy klikk, 80% kiesés, napok helyreállítás. Most javítva, de emlékeztető: a lánc olyan erős, mint a leggyengébb szem – ami gyakran rejtve van.