Бэкдоры и DoS: что грозит интернету из-за 53 слабостей RPKI

Исследователи из Германии выявили уязвимости и проблемы в работе протокола Resource Public Key Infrastructure ( RPKI ), который, по мнению ученых, пока не обладает достаточной стабильностью и безопасностью.

Протокол RPKI был создан для устранения недостатков протокола Border Gateway Protocol (BGP), который не обеспечивал безопасность маршрутизации интернет-трафика. RPKI обеспечивает верификацию маршрутов через механизмы валидации ( ROV ) и авторизации ( ROA ), позволяя операторам сети проверять подлинность маршрутов и объявлений BGP. Однако авторы доклада утверждают, что RPKI не полностью выполняет свои функции.

В начале сентября Белый дом включил RPKI в сети, чтобы снизить уязвимости и сделать интернет более защищенным с точки зрения нацбезопасности и экономики США. Однако новый доклад выявил проблемы, которые вызывают сомнения в эффективности RPKI.

Специалисты выявили 53 уязвимости в программных компонентах RPKI, среди которых DoS , обход аутентификации, отравление кеша и удаленное выполнение кода. Несмотря на то, что большинство уязвимостей были оперативно устранены, возникает вопрос о надежности решений и о возможном наличии других критических проблем, которые пока не обнаружены.

В статье также отмечается, что RPKI в текущем виде является привлекательной мишенью для злоумышленников, поскольку наличие множества уязвимостей может привести к серьезным последствиям для валидации RPKI и даже открывать возможность доступа в локальную сеть, где установлено уязвимое программное обеспечение.

Одной из главных опасений является возможность атак на цепочку поставок, в результате которых киберпреступники могут внедрить бэкдоры в открытые компоненты RPKI. Кроме того, было обнаружено, что многие операторы сталкиваются с проблемами при обновлении RPKI-кода из-за отсутствия автоматизации процесса, что может замедлить внедрение исправлений. Таким образом, около 41,2% пользователей RPKI могут быть уязвимы хотя бы к одной из известных атак.

Специалисты подчеркивают, что отсутствие инструментов автоматизации и масштабирования может привести к неправильным настройкам, что ставит под угрозу эффективность протокола RPKI. Ученые также задаются вопросом: «Не поспешил ли Белый дом с внедрением протокола, который ещё не достиг полной зрелости?». В то же время авторы работы признают, что большинство интернет-технологий разрабатывалось и внедрялось, будучи не до конца совершенными, и развивались уже в процессе использования.

В заключение исследователи призывают использовать их работу в качестве дорожной карты для дальнейшего совершенствования RPKI.