Schwere Sicherheitslücken in Software zum Schutz von Internet-Routing entdeckt
Ein Forschungsteam des Nationalen Forschungszentrums für angewandte Cybersicherheit ATHENE unter der Leitung von Prof. Dr. Haya Schulmann hat 18 Schwachstellen in wichtigen Softwarekomponenten der Resource Public Key Infrastructure (RPKI) aufgedeckt.
RPKI ist ein Internetstandard, der den Internetverkehr vor dem Umleiten durch Hacker schützen soll. Inzwischen haben alle betroffenen Hersteller Patches für ihre Produkte bereitgestellt. Die Sicherheitslücken hätten verheerende Folgen haben können: Internet-Umleitungen wurden bereits ausgenutzt, um z. B. Passwörter und andere sensible Informationen zu stehlen, Certificate Authorities zur Ausstellung betrügerischer Webzertifikate zu verleiten, Kryptowährung zu stehlen, Malware zu verbreiten und für „Cache Poisoning“ von DNS-Servern zu verwenden.
Das ATHENE-Team, bestehend aus Prof. Dr. Haya Schulmann und Niklas Vogel, beide von der Goethe-Universität Frankfurt, Donika Mirdita von der TU Darmstadt und Prof. Dr. Michael Waidner von der TU Darmstadt und dem Fraunhofer SIT, hat 18 Schwachstellen entdeckt und offengelegt. Die National Vulnerability Database (NVD), die vom US National Institute of Standards and Technology (NIST) betrieben wird, ordnete diesen Schwachstellen fünf CVE-Einträge (Common Vulnerabilities and Exposures) zu, die teilweise mit 9,3 von 10 Punkten als besonders kritisch eingestuft wurden. Das Team verwendete bei ihren Forschungsarbeiten das speziell für dieses Projekt entwickelte Testwerkzeug CURE, das ATHENE allen Entwicklern von RPKI-Software kostenlos zur Verfügung stellt.
Die Forschenden fanden Schwachstellen in allen gängigen Implementierungen der Validator-Komponente von RPKI. Diese reichen von Abstürzen über die Verletzung des Standardverhaltens bis hin zu schwerwiegenden Fehlern, die es Angreifern ermöglichen, eine RPKI-Zertifikatshierarchie vollständig zu übernehmen, um den eigenen Vertrauensanker einzuschleusen - und so authentische und gültige, aber betrügerische Routing-Informationen (d. h. BGP-Ankündigungen) zu erzeugen. Es ist nicht bekannt, ob eine der Schwachstellen bereits von Hackern ausgenutzt wurde.
RPKI ist ein vergleichsweise neuer Standard. Heute sind etwa 50 % der Netzpräfixe des Internets durch RPKI-Zertifikate abgedeckt, und 37,8 % aller Internet-Domänen validieren RPKI-Zertifikate. Insbesondere viele große Anbieter und Betreiber unterstützen RPKI, z. B. Amazon Web Services, Cogent, Deutsche Telekom, Level 3 und Zayo.
Die Forschungsarbeit entstand im ATHENE-Forschungsbereich Analytic Based Cybersecurity (ABC) (mehr Informationen unter https://abc.athene-center.de/) und erschien auf dem 2024 Network and Distributed System Security (NDSS) Symposium in San Diego, Kalifornien, USA. Das Forschungspapier kann unter https://www.ndss-symposium.org/ndss-paper/the-cure-to-vulnerabilities-in-rpki-validation/ heruntergeladen werden. Das von den Forschenden entwickelte und zur Aufdeckung der Schwachstellen verwendete Testtool CURE kann unter https://github.com/rp-cure/rp-cure heruntergeladen werden.
Über ATHENE
Das Nationale Forschungszentrum für angewandte Cybersicherheit ATHENE ist ein Forschungszentrum der Fraunhofer-Gesellschaft, an dem die beiden Fraunhofer-Institute SIT und IGD sowie die Technische Universität Darmstadt, die Goethe-Universität Frankfurt und die Hochschule Darmstadt mitwirken. Mit mehr als 600 Wissenschaftlerinnen und Wissenschaftlern ist ATHENE das bedeutendste Cybersecurity-Forschungszentrum in Europa und die führende wissenschaftliche Forschungseinrichtung in Deutschland auf diesem Gebiet. ATHENE wird vom Bundesministerium für Bildung und Forschung (BMBF) und dem Hessischen Ministerium für Wissenschaft, Forschung und Kunst (HMWK) gefördert. Weitere Informationen über ATHENE unter https://www.athene-center.de/.
Weitere Informationen:
http://www.athene-center.de