<html><head><style id="axi-htmleditor-style" type="text/css">p { margin: 0px; }</style></head><body dir="" style="font-size: 10pt; font-family: "Source Sans Pro", sans-serif; background-image: none; background-repeat: repeat; background-attachment: fixed;"><div style="caret-color: rgb(0, 0, 0); font-family: -webkit-standard; text-size-adjust: auto;"><br class="Apple-interchange-newline">(met goedkeuring van NCSC hier doorgezet)</div><div style="caret-color: rgb(0, 0, 0); font-family: -webkit-standard; text-size-adjust: auto;"><br></div><div style="caret-color: rgb(0, 0, 0); font-family: -webkit-standard; text-size-adjust: auto;">Naar aanleiding van de door AMS-IX aan het NCSC geuite zorgen over de aankomende onthulling van kwetsbaarheden in RPKI systemen, willen we alvast een korte vooruitblik geven. De afgelopen dagen zijn er wat speculaties geweest over te onthullen kwetsbaarheden in RPKI. Zoals eerder aangegeven is de onthulling uitgesteld en zijn we op dit moment aan het afstemmen met de overige developers om dit tot een goed einde te brengen. De publicatie van het betreffende onderzoek is nu na overleg met betrokken developers vastgesteld op 9 november 15:00 CET.</div><div style="caret-color: rgb(0, 0, 0); font-family: -webkit-standard; text-size-adjust: auto;">Tegelijkertijd heerst er nog wat onrust over de mogelijke impact van deze kwetsbaarheden. We willen dat graag hieronder toelichten om meer duidelijkheid te geven over de te verwachten impact, zonder in detail te treden.</div><div style="caret-color: rgb(0, 0, 0); font-family: -webkit-standard; text-size-adjust: auto;"><br></div><div style="caret-color: rgb(0, 0, 0); font-family: -webkit-standard; text-size-adjust: auto;">Onderzoekers van de Universiteit Twente hebben een studie uitgevoerd naar de veiligheid van RPKI systemen, waarbij de aandacht specifiek ligt op de schade die door een kwaadwillende Certificate Authority of Publication Point operator kan aanbrengen bij vertrouwende partijen, met name in het verstoren van de werking van software van deze vertrouwende partijen. De onderzoekers hebben contact gezocht met het Nationaal Cyber Security Centrum (NCSC-NL) voor het uitvoeren van een coordinated vulnerability disclosure omtrent de in het onderzoek ontdekte kwetsbaarheden richting partijen die RPKI software implementeren.</div><div style="caret-color: rgb(0, 0, 0); font-family: -webkit-standard; text-size-adjust: auto;"><br></div><div style="caret-color: rgb(0, 0, 0); font-family: -webkit-standard; text-size-adjust: auto;">Tijdens het onderzoek zijn twee type kwetsbaarheden ontdekt:</div><div style="caret-color: rgb(0, 0, 0); font-family: -webkit-standard; text-size-adjust: auto;">. Kwetsbaarheden die software van vertrouwende organisatie raakt gerelateerd aan het misbruik van het RRDP protocol, dat wordt gebruikt voor het transport van RPKI objecten van een publication point naar een vertrouwende organisatie.</div><div style="caret-color: rgb(0, 0, 0); font-family: -webkit-standard; text-size-adjust: auto;">. Kwetsbaarheden die worden veroorzaakt door gebrekkige inputvalidatie op RPKI objecten die vertrouwende organisaties ontvangen via een publication point van een certificate authority.</div><div style="caret-color: rgb(0, 0, 0); font-family: -webkit-standard; text-size-adjust: auto;"><br></div><div style="caret-color: rgb(0, 0, 0); font-family: -webkit-standard; text-size-adjust: auto;">De impact van de kwetsbaarheden varieert van kwaadwillende CAs en PPs die in staat zijn het validatieproces van van vertrouwende partijen tot in het oneindige te verlengen, tot het laten crashen van software van vertrouwende partijen en het schrijven van willekeurige bestanden op de host waarop de software van de vertrouwende partij draait.</div><div style="caret-color: rgb(0, 0, 0); font-family: -webkit-standard; text-size-adjust: auto;">Directe impact op de operatie van deze kwetsbaarheden is niet waarschijnlijk, aangezien een kwaadwillende CA/PP zou opvallen, en hoger in de hiërarchie maatregelen kunnen worden genomen om deze kwaadwillende CA/PP af te sluiten. Terwijl vertrouwende partijen vaak een fail-safe werkwijze hebben, en een crash of oneindig validatieproces geen negatieve impact op een router die deze partij gebruikt voor RPKI validatie, kan een gemotiveerde aanvaller in een hypothetisch geval de kwetsbaarheden misbruiken om te voorkomen dat vertrouwende partijen nog updates van ROAs ontvangen (wat routeringsbeslissingen kan beïnvloeden). Vandaar dat operators wordt aangeraden om updates van deze software zo snel mogelijk uit te voeren.</div><div style="caret-color: rgb(0, 0, 0); font-family: -webkit-standard; text-size-adjust: auto;"><br></div><div style="caret-color: rgb(0, 0, 0); font-family: -webkit-standard; text-size-adjust: auto;"><br></div><div style="caret-color: rgb(0, 0, 0); font-family: -webkit-standard; text-size-adjust: auto;">Met vriendelijke groet,</div><div style="caret-color: rgb(0, 0, 0); font-family: -webkit-standard; text-size-adjust: auto;">............................................................................</div><div style="caret-color: rgb(0, 0, 0); font-family: -webkit-standard; text-size-adjust: auto;">Nationaal Cyber Security Centrum</div><div style="caret-color: rgb(0, 0, 0); font-family: -webkit-standard; text-size-adjust: auto;">Postbus 117 | 2501 CC| Den Haag | www.ncsc.nl ............................................................................</div><div style="caret-color: rgb(0, 0, 0); font-family: -webkit-standard; text-size-adjust: auto;">T 070 751 55 55</div><span style="font-family: -webkit-standard; caret-color: rgb(0, 0, 0); font-size: 10pt;">E</span><span class="Apple-converted-space" style="font-family: -webkit-standard; caret-color: rgb(0, 0, 0); font-size: 10pt;"> </span><a href="mailto:info@ncsc.nl" title="mailto:info@ncsc.nl" style="font-family: -webkit-standard; caret-color: rgb(0, 0, 0); font-size: 10pt; color: rgb(0, 0, 100);">info@ncsc.nl</a><br><div class="x-axi-signature"><br><div class="x-axi-signature" style="; font-size: 10pt; font-family: " source="" sans="" pro",="" sans-serif;"="">-- <div>IDGARA | Alex de Joode | alex@idgara.nl | +31651108221 <br></div></div></div></body></html>