02/10/24
Исследователи из Германии выявили уязвимости и проблемы в работе протокола Resource Public Key Infrastructure (RPKI), который, по мнению ученых, пока не обладает достаточной стабильностью и безопасностью.
Протокол RPKI был создан для устранения недостатков протокола Border Gateway Protocol (BGP), который не обеспечивал безопасность маршрутизации интернет-трафика. RPKI обеспечивает верификацию маршрутов через механизмы валидации (ROV) и авторизации (ROA), позволяя операторам сети проверять подлинность маршрутов и объявлений BGP. Однако авторы доклада утверждают, что RPKI не полностью выполняет свои функции, передаёт Securitylab.
В начале сентября Белый дом включил RPKI в сети, чтобы снизить уязвимости и сделать интернет более защищенным с точки зрения нацбезопасности и экономики США. Однако новый доклад выявил проблемы, которые вызывают сомнения в эффективности RPKI.
Специалисты выявили 53 уязвимости в программных компонентах RPKI, среди которых DoS, обход аутентификации, отравление кеша и удаленное выполнение кода. Несмотря на то, что большинство уязвимостей были оперативно устранены, возникает вопрос о надежности решений и о возможном наличии других критических проблем, которые пока не обнаружены.
В статье также отмечается, что RPKI в текущем виде является привлекательной мишенью для злоумышленников, поскольку наличие множества уязвимостей может привести к серьезным последствиям для валидации RPKI и даже открывать возможность доступа в локальную сеть, где установлено уязвимое программное обеспечение.
Одной из главных опасений является возможность атак на цепочку поставок, в результате которых киберпреступники могут внедрить бэкдоры в открытые компоненты RPKI. Кроме того, было обнаружено, что многие операторы сталкиваются с проблемами при обновлении RPKI-кода из-за отсутствия автоматизации процесса, что может замедлить внедрение исправлений. Таким образом, около 41,2% пользователей RPKI могут быть уязвимы хотя бы к одной из известных атак.
Специалисты подчеркивают, что отсутствие инструментов автоматизации и масштабирования может привести к неправильным настройкам, что ставит под угрозу эффективность протокола RPKI. Ученые также задаются вопросом: «Не поспешил ли Белый дом с внедрением протокола, который ещё не достиг полной зрелости?». В то же время авторы работы признают, что большинство интернет-технологий разрабатывалось и внедрялось, будучи не до конца совершенными, и развивались уже в процессе использования.
