Jak jedno kliknięcie może odciąć sieć od internetu: Luki w bezpieczeństwie RPKI

Routing w internecie opiera się na zaufaniu. Operatorzy sieci wierzą, że systemy autoryzujące trasy są nie do złamania. A co, jeśli to zaufanie zawiedzie przez prostą lukę XSS?

Nowe badania ujawniły łańcuch ataków na infrastrukturę RPKI od RIPE NCC. To system dbający o bezpieczeństwo routingu w Europie, na Bliskim Wschodzie i w Azji Centralnej. Atak zaczyna się od złego linku. Potem następuje lawina błędów architektonicznych. Efekt? Cała sieć traci połączenie z internetem.

Czym jest RPKI i dlaczego to ważne?

RPKI, czyli Resource Public Key Infrastructure, ma zapobiegać hijackingowi tras. Ktoś niepowołany nie powinien ogłaszać twoich adresów IP i przejmować ruchu.

Działa dzięki ROA – kryptograficznym oświadczeniom. Określają, kto może legalnie ogłaszać dany prefix IP. Te dane trafiają do globalnego rejestru. Routery na całym świecie je weryfikują. Brzmi solidnie. Ale w praktyce bezpieczeństwo zależy od... strony internetowej.

Rzecz w tym, że RPKI to po prostu strona www. Ma HSM-y, rotacje kluczy i audyty SOC 2. Ale zmiany w autoryzacjach routingowych? Robisz je przez zwykły cookie sesyjny w przeglądarce. Tu zaczyna się kłopot.

Jak działa atak: od linku do izolacji

Atak krok po kroku w warunkach rzeczywistych:

Krok 1: Inżynieria społeczna
Atakujący wysyła link do RIPE Atlas – zaufanego narzędzia do diagnozowania sieci od RIPE NCC. Inżynierowie często je klikają. Wiadomość typu "Sprawdź ten problem z routingiem" działa jak magnes.

Krok 2: Cicha eksplozja
Jeśli ofiara jest zalogowana w serwisie RIPE NCC, link odpala XSS. Strona wygląda normalnie. Ale w tle JavaScript działa na zalogowanej sesji.

Krok 3: Przejmij routing
Skrypt bezszelestnie edytuje wszystkie ROA w panelu RPKI. Zamiast autoryzacji stawia "nie routuj tych IP". Operator nie ma pojęcia.

Krok 4: Odcięcie od świata
W kilka minut inne sieci stosują nowe (złe) ROA. Odrzucają ruch ofiary. W teście badacz stracił dostęp do Cloudflare po 26 minutach. Po godzinie 80% sieci blokowało ruch całkowicie.

Dlaczego to idealna burza?

Zwykła luka XSS stała się bronią masowego rażenia przez błędy architektury:

Wspólne cookie na domenach
Sesje działały między serwisami RIPE NCC. XSS w RIPE Atlas otwierał dostęp do RPKI. Zaufanie jednemu usługom = kompromitacja wszystkich.

Brak ochrony CSRF
Nie chroniono operacji zmieniających stan. Wystarczyło wejść na stronę – bez klikania.

Wyłączalne powiadomienia
Alerty o zmianach ROA dało się wyłączyć tą samą drogą. Ofiara w ciemności.

Ukryte furtki
Luka siedziała w polach debugowania DNS. Lekcja? Każde pole to potencjalny wektor ataku.

Skutki kaskadowe

Nie chodzi tylko o odcięcie:

• Izolacja sieci: Wygląda jak awaria infrastruktury.
• Chaos operacyjny: Trudno zgadnąć przyczynę. Alerty nie wskazują na ROA.
• Hijacking bazy RIPE: Atakujący blokuje dostęp do obiektów w bazie RIPE – ratunek tylko ręczna interwencja, dni czekania.
• Wsparcie dla BGP hijacku: Złe ROA czynią fałszywe trasy wiarygodnymi.

Lekcje dla bezpieczeństwa infrastruktury

Ten łańcuch ataków uczy kluczowych spraw:

1. Granice domen to podstawa
Nie dziel cookie między systemami. Każda usługa – osobna autentykacja.

2. Obrona warstwowa bez litości
XSS nie powinien dawać kontroli. Dodaj CSRF, CSP i re-autentykację na kluczowe akcje.

3. Edukacja użytkowników nie wystarczy
Inżynierowie muszą klikać linki diagnostyczne. Architektura musi to znieść.

4. Każde pole pod lupą
Debug DNS czy metadane? Traktuj jak wrogie.

5. Monitoring musi być niezależny
Powiadomienia poza zasięgiem atakujących. Inaczej to fikcja.

Co naprawiono?

RIPE NCC załatało po 14 miesiącach odpowiedzialnego ujawnienia:

• Luki XSS w wielu serwisach.
• CSRF na wszystkich zmianach.
• Ograniczenia cookie do domen.
• Niezależne alerty bez wyłącznika.
• Walidacja inputów w zapomnianych polach.

Co zrobić u siebie?

Prowadzisz DNS, RPKI czy BGP? Sprawdź:

Przejrzyj sesje. Gdzie działają cookie? XSS w jednym = problem w reszcie?

Testuj CSRF na maksa. Skanery zawodzą w złożonych flowach.

Różne poziomy autentykacji. Na krytyczne akcje – ponowne hasło, TOTP czy token sprzętowy.

Zakładaj sukces phishingu. Użytkownik kliknie – twoja obrona musi przetrwać.

Wszystko waliduj. Małe pole? I tak sanitizuj.

Gorzka prawda

Ten atak umyka standardowym audytom. Łączy DNS, web sec i BGP. Błędy architektury, osobno OK, razem katastrofa.

Routing to nerwy internetu. Systemy jak RPKI potrzebują nadzwyczajnego bezpieczeństwa. Nie "zwykła strona www".

Jeden klik. 80% utraty ruchu. Dni na odzyskanie. Łata wycięta, ale słabe ogniwo czai się wszędzie. Szukaj je świadomie.