Ett klick som stänger ner nätverket: RPKI-sårbarheter i praktiken

Internets routrar bygger på ömsesidigt förtroende. Operatörer litar på att systemen för ruttvalidering är vattentäta. Men en vanlig XSS-sårbarhet kan rasera allt det.

Ny forskning visar hur en angreppskedja mot RIPE NCC:s RPKI-infrastruktur kunde koppla bort ett helt nätverk från webben. Det startar med en enda länk. Sedan utnyttjas designfel som leder till total isolering.

Vad är RPKI – och varför påverkar det dig?

RPKI (Resource Public Key Infrastructure) skyddar mot ruttkapningar. Det löser problemet med falska IP-annonseringar som stjäl trafik.

Systemet använder ROAs – kryptografiska bevis på vem som får annonsera specifika IP-prefix. Dessa publiceras globalt och kontrolleras av routrar överallt. Teoretiskt oslagbart. Men i verkligheten hänger det på en webbapp.

RPKI är i grunden en hemsida.
Med HSM:er, nyckelceremonier och SOC 2-granskningar. Ändå hanteras ROA-ändringar via en vanlig session cookie. Där uppstod luckorna.

Så går angreppet till: Från länk till blackout

Angreppet utspelar sig stegvis:

Steg 1: Fiskedamm med trovärdig länk
Attackern skapar en länk till RIPE Atlas, RIPE NCC:s populära diagnostikverktyg. Ett meddelande som "Kolla din routing – något fel?" lockar ingenjörer att klicka.

Steg 2: XSS i bakgrunden
Om offret är inloggat på RIPE-tjänster triggas XSS. Sidan ser normal ut. Men JavaScript körs på den autentiserade sessionen.

Steg 3: ROA-kaos
Payloaden ändrar alla ROAs i RPKI Dashboard. De nya auktorisationerna blockerar routingen helt. Offret märker inget.

Steg 4: Nätverket dör
Snart filtrerar andra nätverk bort trafiken. I tester tog det 26 minuter att förlora Cloudflare-åtkomst. Efter en timme blockerade 80 procent av nätverken allt.

Designfel som skapar katastrof

Vanliga XSS blir dödligt genom flera misstag:

Gemensamma session cookies
Autentisering delades mellan domäner. XSS i RIPE Atlas öppnade dörren till RPKI Dashboard. Ett förtroende som smittade.

Ingen CSRF-säkerhet
State-changing endpoints saknade skydd. Ett sidbesök räckte – ingen interaktion krävdes.

Avstängbara notiser
Varningar för ROA-ändringar kunde inaktiveras via samma gränssnitt. Offret blev blindt.

Dolda ingångar
Sårbarheten satt i DNS-fält för felsökning. Varje input är en risk, även de "harmlösa".

Följderna sprider sig

Effekterna går längre än avstängning:

• Total isolering: Nätverket ser ut som dött.
• Kaos i driften: Orsaken döljs. Varningar pekar fel.
• RIPE Database-kapning: Andra objekt kunde tas över, med dagar av manuell återställning.
• Hjälp till BGP-kapningar: Falska ROAs kunde förstärka hijacks.

Lärdomar för infrastruktur-säkerhet

Händelsen visar svaga punkter:

1. Domänseparering är nyckeln
Sessions som spänner domäner skapar bakdörrar. Kräv unik autentisering per tjänst.

2. Flera lager skydd
XSS ska aldrig ge full kontroll. Lägg till CSRF-tokens, CSP och re-autentisering för kritiska ändringar.

3. Ingenjörer klickar länkar
De är tränade att undersöka. Designa för att överleva det klicket.

4. Alla fält är misstänkta
DNS-parametrar och metadata måste valideras lika hårt som kärnfunktioner.

5. Övervakning ska vara oberoende
Notiser får inte styras av de system de vaktar.

Vad åtgärdades?

Efter 14 månaders ansvarig rapportering fixade RIPE NCC:

• XSS i flera tjänster.
• CSRF på alla ändrande operationer.
• Begränsade session cookies.
• Oavstängbara varningar.
• Bättre input-validering.

Tips till din setup

Driftar du DNS, RPKI eller BGP? Kolla detta:

Granska sessioner. Var funkar cookies? Kan XSS sprida sig?

Testa CSRF ordentligt. Verktyg missar ofta komplexa fall.

Trafikstyra autentisering. Kräv extra steg (TOTP, tokens) för högrisk.

Räkna med social engineering. Användare klickar – din säkerhet måste hålla.

Validera allt. Inget fält är för litet för rigor.

Den kalla sanningen

Angreppet korsar DNS, webbsäkerhet och BGP. Det utnyttjar beslut som verkade smarta ensamma, men exploderar ihop.

Routringsinfrastruktur är livsviktig. "Webbapp"-grunden kräver elit-säkerhet. Ett klick tog 80 procent av trafiken. Återställning tog dagar. Nu är det fixat – men svaga länkar lurar överallt. Kolla dina.