Один клик — и сеть отрубается: уязвимости RPKI в действии

Интернет держится на доверии к системам маршрутизации. Операторы сетей уверены: всё под контролем. А если этот контроль сломается из-за банальной XSS-уязвимости?

Недавно исследователи нашли цепочку атак на инфраструктуру RPKI от RIPE NCC. Это ключевой механизм защиты маршрутов в Европе, на Ближнем Востоке и в Центральной Азии. Атака проста: вредоносная ссылка плюс пара архитектурных промахов — и целая сеть теряет связь с интернетом.

RPKI: что это и зачем оно нужно?

RPKI — это Resource Public Key Infrastructure. Система решает старую проблему маршрутизации: как запретить чужакам анонсировать твои IP и красть трафик?

Всё строится на ROA — Route Origin Authorizations. Это криптографические подтверждения: кто имеет право анонсировать конкретные IP-префиксы. ROA публикуются в глобальном реестре, роутеры их проверяют. Звучит надёжно. Но на деле безопасность зависит от веб-приложения, которое это управляет.

RPKI — это просто сайт.
С HSM-модулями, ротацией ключей и аудитом SOC 2. А изменения в ROA? Они проходят через обычный session cookie. Вот где собака зарыта.

Как работает атака: от ссылки до blackout'а

В реальности цепочка выглядит так:

Шаг 1: Социальная инженерия
Атакующий кидает ссылку на RIPE Atlas — популярный инструмент диагностики от RIPE NCC. Инженеры сетей кликают такие без раздумий. Сообщение вроде "Смотри, странность в твоём роутинге" — и готово.

Шаг 2: Тихий запуск
Если жертва залогинена в любом сервисе RIPE, ссылка запускает XSS. Страница выглядит нормально. А на фоне JavaScript работает в аутентифицированной сессии.

Шаг 3: Захват ROA
Скрипт меняет все ROA в RPKI Dashboard. Теперь они говорят: "Эти IP не роутить". Оператор ничего не замечает.

Шаг 4: Отключение от мира
Минут через 10 другие сети подхватывают фейковые ROA и блокируют трафик. В тесте исследователь потерял доступ к Cloudflare за 26 минут. Через час 80% сетей уже дропали его трафик.

Почему это взорвалось как бомба

Обычная XSS стала апокалипсисом из-за архитектурных косяков:

Общие session cookies между доменами
Сессия из RIPE Atlas открывала доступ к RPKI Dashboard. Доверяешь одному сервису — теряешь все.

Нет защиты от CSRF
На критических действиях CSRF-токены отсутствовали. Достаточно открыть страницу — и привет.

Легко вырубить уведомления
Системы оповещений о смене ROA отключались через ту же уязвимую форму. Никто не в курсе.

Скрытые дыры
Уязвимость пряталась в полях DNS-дебаггинга. Любой ввод — вектор атаки, даже "безобидный".

Последствия на всех уровнях

Отключение — это только начало:

• Изоляция сети: Трафик блокируется, выглядит как сбой инфраструктуры.
• Хаос в операциях: Причина неясна, оповещения сбивают с толку.
• Угон RIPE Database: Можно захватить другие объекты, заблокировав владельцев на дни.
• Помощь в BGP-хижэкинге: Фейковые ROA делают злые маршруты "легитимными".

Главные уроки для инфраструктуры

Эта история учит:

1. Границы доменов — святое
Не давай сессиям пересекать сервисы. Аутентификация на каждый отдельно.

2. Защита в глубину обязательна
XSS не должна давать контроль. CSRF-токены, CSP, повторная авторизация для важного.

3. Обучение пользователей — не панацея
Инженеры кликают "технические" ссылки по долгу службы. Архитектура должна это пережить.

4. Все поля — под прицелом
DNS-параметры, метаданные — проверяй как критику.

5. Мониторинг без изоляции бесполезен
Оповещения должны быть независимыми, без возможности отключения.

Что починили?

RIPE NCC закрыли дыры после 14 месяцев responsible disclosure:

• XSS во всех сервисах.
• CSRF на изменениях.
• Ограничения cookie по доменам.
• Независимые алерты.
• Валидация "мелких" полей.

Что делать с твоей инфраструктурой

Управляешь DNS, RPKI, BGP? Проверь:

Аудит сессий. Куда лезут cookie? XSS в одном — крах везде?

Тестируй CSRF. Сканеры пропускают хитрости.

Разные уровни auth. Для критичного — TOTP или токен заново.

Предполагай клик. Дизайн под "пользователь нажмёт".

Все инпуты — враги. Валидация везде, без исключений.

Горькая правда

Такие цепочки ускользают от обычных аудитов. Они мешают DNS, веб-безопасность и BGP. Решения казались логичными по отдельности, но вместе — катастрофа.

Маршрутизация — основа интернета. Сайты вроде RPKI требуют элитной защиты, а не стандартной. Один клик, 80% потерь, дни на восстановление. Дыра закрыта, но слабые звенья прячутся в неожиданных местах.