11/10/22
Механизм безопасности под названием Resource Public Key Infrastructure (RPKI), предназначенный для защиты маршрутизации трафика данных, может быть взломан. Это означает, что кибершпионы и мошенники могут обойти защиту и перенаправлять соединения целей, чтобы шпионить за ними или нарушать их связь.
Об этом заявили сотрудники немецкого Национального исследовательского центра прикладной кибербезопасности ATHENE, сообщает Securitylab.
Интернет состоит из сетей, называемых автономными системами (Autonomous System, AS), которые сообщают свои префиксы IP-адресов через маршрутизаторы соседним сетям с использованием BGP (Border Gateway Protocol), чтобы построить карту маршрутизации.
RPKI стремится предотвратить захват префикса путем привязки IP-адресов к автономным системам с использованием цифровых подписей ROA (Route Origin Authorizations, авторизация источника маршрута). По данным ATHENE, только около 40% всех блоков IP-адресов имеют сертификаты RPKI, и только около 27% их проверяют.
В исследовании, представленном ранее в этом году на конференциях по безопасности Usenix и Black Hat, ученые описывают атаку под названием «Stalloris».
Атака требует со стороны злоумышленника контроля над точкой публикации RPKI — маршрутизатором или сетью. Вредоносный источник RKPI настроен так, чтобы отвечать на запросы как можно медленнее и заставлять жертву искать информацию из контролируемых точек публикации. Этот метод останавливает процесс проверки сетевого маршрута, что в конечном итоге отключает RPKI.
По словам экспертов, комбинации Stalloris с одной итерацией низкоскоростной атаки с потерей пакетов вне пути достаточно, чтобы отменить проверку RPKI. Идея атаки Stalloris заключается в создании глубокого пути делегирования, чтобы проверяющая сторона (проверяющая ROA для жертвы) открывала соединения RRDP (RPKI Repository Delta Protocol) с несколькими точками публикации, контролируемыми противником.
Исследователи отметили, что 60% блоков IP-адресов не имеют RPKI, поэтому есть большой риск перехвата сетевого маршрута. По словам ученых, такая атака может вызвать массовые сбои Интернета.
