Schwere Sicherheitslücken in Software zum Schutz von Internet-Routing entdeckt

11.04.2024. Ein Forschungsteam des Nationalen Forschungszentrums für angewandte Cybersicherheit ATHENE unter der Leitung von Prof. Dr. Haya Schulmann hat 18 Schwachstellen in wichtigen Softwarekomponenten der Resource Public Key Infrastructure (RPKI) aufgedeckt. RPKI ist ein Internetstandard, der den Internetverkehr vor dem Umleiten durch Hacker schützen soll. Inzwischen haben alle betroffenen Hersteller Patches für ihre Produkte bereitgestellt. Die Sicherheitslücken hätten verheerende Folgen haben können: Internet-Umleitungen wurden bereits ausgenutzt, um z. B. Passwörter und andere sensible Informationen zu stehlen, Certificate Authorities zur Ausstellung betrügerischer Webzertifikate zu verleiten, Kryptowährung zu stehlen, Malware zu verbreiten und für „Cache Poisoning“ von DNS-Servern zu verwenden.

Das ATHENE-Team, bestehend aus Prof. Dr. Haya Schulmann und Niklas Vogel, beide von der Goethe-Universität Frankfurt, Donika Mirdita von der TU Darmstadt und Prof. Dr. Michael Waidner von der TU Darmstadt und dem Fraunhofer SIT, hat 18 Schwachstellen entdeckt und offengelegt. Die National Vulnerability Database (NVD), die vom US National Institute of Standards and Technology (NIST) betrieben wird, ordnete diesen Schwachstellen fünf CVE-Einträge (Common Vulnerabilities and Exposures) zu, die teilweise mit 9,3 von 10 Punkten als besonders kritisch eingestuft wurden. Das Team verwendete bei ihren For­schungs­arbeiten das speziell für dieses Projekt entwickelte Testwerkzeug CURE, das ATHENE allen Entwicklern von RPKI-Software kostenlos zur Verfügung stellt.
Die Forschenden fanden Schwachstellen in allen gängigen Implementierungen der Validator-Komponente von RPKI. Diese reichen von Abstürzen über die Verletzung des Standardverhaltens bis hin zu schwerwiegenden Fehlern, die es Angreifern ermöglichen, eine RPKI-Zertifikatshierarchie vollständig zu übernehmen, um den eigenen Vertrauensanker einzuschleusen - und so authentische und gültige, aber betrügerische Routing-Informationen (d. h. BGP-Ankündigungen) zu erzeugen. Es ist nicht bekannt, ob eine der Schwachstellen bereits von Hackern ausgenutzt wurde.

RPKI ist ein vergleichsweise neuer Standard. Heute sind etwa 50 % der Netzpräfixe des Internets durch RPKI-Zertifikate abgedeckt, und 37,8 % aller Internet-Domänen validieren RPKI-Zertifikate. Insbesondere viele große Anbieter und Betreiber unterstützen RPKI, z. B. Amazon Web Services, Cogent, Deutsche Telekom, Level 3 und Zayo.

Die For­schungs­arbeit entstand im ATHENE-Forschungsbereich Analytic Based Cybersecurity (ABC) (mehr Informationen unter https://abc.athene-center.de/) und erschien auf dem 2024 Network and Distributed System Security (NDSS) Symposium in San Diego, Kalifornien, USA. Das Forschungspapier kann unter https://www.ndss-symposium.org/ndss-paper/the-cure-to-vulnerabilities-in-rpki-validation/ heruntergeladen werden. Das von den Forschenden entwickelte und zur Aufdeckung der Schwachstellen verwendete Testtool CURE kann unter https://github.com/rp-cure/rp-cure heruntergeladen werden.