[NLNOG] bericht van NCSC

[Alex de Joode]

(met goedkeuring van NCSC hier doorgezet)

Naar aanleiding van de door AMS-IX aan het NCSC geuite zorgen over de aankomende onthulling van kwetsbaarheden in RPKI systemen, willen we alvast een korte vooruitblik geven. De afgelopen dagen zijn er wat speculaties geweest over te onthullen kwetsbaarheden in RPKI. Zoals eerder aangegeven is de onthulling uitgesteld en zijn we op dit moment aan het afstemmen met de overige developers om dit tot een goed einde te brengen. De publicatie van het betreffende onderzoek is nu na overleg met betrokken developers vastgesteld op 9 november 15:00 CET.
Tegelijkertijd heerst er nog wat onrust over de mogelijke impact van deze kwetsbaarheden. We willen dat graag hieronder toelichten om meer duidelijkheid te geven over de te verwachten impact, zonder in detail te treden.

Onderzoekers van de Universiteit Twente hebben een studie uitgevoerd naar de veiligheid van RPKI systemen, waarbij de aandacht specifiek ligt op de schade die door een kwaadwillende Certificate Authority of Publication Point operator kan aanbrengen bij vertrouwende partijen, met name in het verstoren van de werking van software van deze vertrouwende partijen. De onderzoekers hebben contact gezocht met het Nationaal Cyber Security Centrum (NCSC-NL) voor het uitvoeren van een coordinated vulnerability disclosure omtrent de in het onderzoek ontdekte kwetsbaarheden richting partijen die RPKI software implementeren.

Tijdens het onderzoek zijn twee type kwetsbaarheden ontdekt:
. Kwetsbaarheden die software van vertrouwende organisatie raakt gerelateerd aan het misbruik van het RRDP protocol, dat wordt gebruikt voor het transport van RPKI objecten van een publication point naar een vertrouwende organisatie.
. Kwetsbaarheden die worden veroorzaakt door gebrekkige inputvalidatie op RPKI objecten die vertrouwende organisaties ontvangen via een publication point van een certificate authority.

De impact van de kwetsbaarheden varieert van kwaadwillende CAs en PPs die in staat zijn het validatieproces van van vertrouwende partijen tot in het oneindige te verlengen, tot het laten crashen van software van vertrouwende partijen en het schrijven van willekeurige bestanden op de host waarop de software van de vertrouwende partij draait.
Directe impact op de operatie van deze kwetsbaarheden is niet waarschijnlijk, aangezien een kwaadwillende CA/PP zou opvallen, en hoger in de hiërarchie maatregelen kunnen worden genomen om deze kwaadwillende CA/PP af te sluiten. Terwijl vertrouwende partijen vaak een fail-safe werkwijze hebben, en een crash of oneindig validatieproces geen negatieve impact op een router die deze partij gebruikt voor RPKI validatie, kan een gemotiveerde aanvaller in een hypothetisch geval de kwetsbaarheden misbruiken om te voorkomen dat vertrouwende partijen nog updates van ROAs ontvangen (wat routeringsbeslissingen kan beïnvloeden). Vandaar dat operators wordt aangeraden om updates van deze software zo snel mogelijk uit te voeren.



Met vriendelijke groet,
............................................................................
Nationaal Cyber Security Centrum
Postbus 117 | 2501 CC| Den Haag | www.ncsc.nl ............................................................................
T 070 751 55 55
E info at ncsc.nl​​-- 
IDGARA | Alex de Joode | alex at idgara.nl | +31651108221 


-------------- next part --------------
An HTML attachment was scrubbed...
URL: <http://mailman.nlnog.net/pipermail/nlnog/attachments/20211104/7b0f31ac/attachment.html>