Ett klikk som stenger ned nettverket: Slik utnyttes RPKI-svakheter

Internettets ruting hviler på tillit. Nettverksoperatører stoler på at systemene som styrer ruteautoriseringer er vanntette. Men hva skjer når en enkel XSS-svakhet bryter ned denne tilliten?

Ny sikkerhetsforskning avslører en angrepskjede mot RIPE NCCs RPKI-system. Dette verktøyet sikrer ruting i Europa, Midtøsten og Sentral-Asia. Et ondsinnet lenke utløser en dominoeffekt som kan koble et helt nettverk fra nettet.

Hva er RPKI, og hvorfor betyr det noe for deg?

RPKI – Resource Public Key Infrastructure – løser et kjerneproblem i ruting: Hvordan stoppe noen fra å kapre dine IP-adresser og stjele trafikk?

Systemet bruker ROA-er (Route Origin Authorizations). Dette er kryptografiske erklæringer som definerer hvem som kan annonsere spesifikke IP-prefikser. ROA-ene publiseres globalt og sjekkes av rutere verden over. Teorien er solid. Praksis avhenger av nettsiden som styrer det.

RPKI er i bunn og grunn en nettside. Med HSM-er, nøkkelrotasjoner og SOC 2-revisjoner. Men endringer i ruteautoriseringer skjer via en vanlig session cookie. Der starter problemene.

Angrepskjeden: Fra luring til total isolasjon

Slik utspiller angrepet seg:

Trinn 1: Luring med tillit
Angriperen lager en lenke til RIPE Atlas, et populært diagnoseverktøy fra RIPE NCC. Nettverksfolk deler og klikker slike lenker daglig. En melding som "Sjekk denne ruteproblemet" lokker fram klikk.

Trinn 2: Usynlig last
Hvis brukeren er logget inn på RIPE-tjenester, utløser lenken XSS-angrep. Ingenting ser galt ut. JavaScript kjører stille i den autentiserte sessionen.

Trinn 3: Full kontroll over ROA-er
Payloaden endrer alle ROA-er i RPKI Dashboard. De nye autorisasjonene sier "dropp disse IP-ene". Eieren merker ingenting.

Trinn 4: Nettet forsvinner
Snart dropper andre nettverk trafikken. I tester tok det 26 minutter før Cloudflare-access forsvant. Etter én time ignorerte 80 % av nettverkene offeret.

Hvorfor ble dette så farlig?

Noen designvalg forvandlet en XSS-feil til et masseødeleggelsesvåpen:

Delte session cookies på tvers av domener
RIPE-tjenester delte autentisering. XSS i Atlas ga tilgang til RPKI Dashboard. Tillit mellom tjenester ble akilleshælen.

Manglende CSRF-beskyttelse
Ingen eller svak CSRF på endrende operasjoner. Et besøk på siden var nok – ingen interaksjon kreves.

Alarmer som slås av
Varsler om ROA-endringer finnes, men de deaktiveres via samme sårbare grensesnitt. Offeret blir blind.

Skjulte innganger
Svakheten satt i DNS-debugfelter, ikke i Dashboard. Alle inputs er angrepstrofeer, selv de uskyldige.

Følger av angrepet

Skadene stopper ikke ved isolasjon:

• Nettverksbrudd: Ser ut som total svikt.
• Forvirring i drift: Årsaken er uklar. Varsler peker ikke rett.
• RIPE Database-kapring: Angriper tar over andre objekter. Gjenoppretting tar dager med manuell hjelp.
• Hjelte BGP-hijacks: Falske ruter ser legitime ut.

Større sikkerhetslærdommer

Denne kjeden viser nøkkelpunkter for infrastruktur:

1. Skill sikkerhetsdomener
Del kritiske og mindre kritiske systemer. Unngå delte cookies – bruk separat autentisering per tjeneste.

2. Lag på lag med forsvar
Én XSS skal ikke gi kontroll. Legg til CSRF-tokens, CSP og re-autentisering for kritiske handlinger.

3. Brukere klikker alltid
Nettverksfolk må undersøke mistenkelig trafikk. Design sikkerhet som tåler det klikket.

4. Alle felter er farlige
DNS-params og metadata er jaget av angripere. Valider alt likt.

5. Uavhengig overvåking
Alarmer må stå alene. Angripere skal ikke slå dem av.

Hva ble fikset?

RIPE NCC patcha etter 14 måneders ansvarlig disclosure:

• XSS i flere tjenester.
• CSRF på alle endringer.
• Begrensede cookie-domener.
• Uavhengige alarmer.
• Bedre input-validering.

Tips til din infrastruktur

Drift DNS, RPKI eller BGP? Sjekk dette:

Gå gjennom session-håndtering. Hvor virker cookies? Kan XSS spre seg?

Test CSRF grundig. Verktøy misser ofte komplekse tilfeller.

Bruk autentiseringsnivåer. Kreve TOTP eller tokens for kritiske endringer.

Forvent luring. Sikkerhet må overleve besøket på ondsinnede lenker.

Behandle alt som upålitelig. Valider og kod alle inputs.

Den harde realiteten

Denne angrepskjedet glipper tradisjonelle revisjoner. Den krysser domener, fagfelt og designbeslutninger som virker fornuftige alene, men ødeleggende sammen.

Ruting er kritisk infrastruktur. "Bare en nettside" krever eksepsjonell sikkerhet. Ett klikk, 80 % nedetid, dager med kaos. Nå fikset – men svakeste leddet bestemmer styrken. Se etter dem der de gjemmer seg.