01.05.2024 •

Schwere Sicherheitslücken in Software zum Schutz von Internet-Routing entdeckt

Ein Forschungsteam des Nationalen Forschungszentrums für angewandte Cybersicherheit ATHENE unter der Leitung von Prof. Dr. Haya Schulmann hat 18 Schwachstellen in wichtigen Softwarekomponenten der Resource Public Key Infrastructure (RPKI) aufgedeckt.

Schwere Sicherheitslücken in Software zum Schutz von Internet-Routing entdeckt
Quelle: © Fraunhofer SIT

RPKI ist ein Internetstandard, der den Internetverkehr vor dem Umleiten durch Hacker schützen soll. Inzwischen haben alle betroffenen Hersteller Patches für ihre Produkte bereitgestellt. Die Sicherheitslücken hätten verheerende Folgen haben können: Internet-Umleitungen wurden bereits ausgenutzt, um z. B. Passwörter und andere sensible Informationen zu stehlen, Certificate Authorities zur Ausstellung betrügerischer Webzertifikate zu verleiten, Kryptowährung zu stehlen, Malware zu verbreiten und für „Cache Poisoning“ von DNS-Servern zu verwenden.

Das ATHENE-Team, bestehend aus Prof. Dr. Haya Schulmann und Niklas Vogel, beide von der Goethe-Universität Frankfurt, Donika Mirdita von der TU Darmstadt und Prof. Dr. Michael Waidner von der TU Darmstadt und dem Fraunhofer SIT, hat 18 Schwachstellen entdeckt und offengelegt. Die National Vulnerability Database (NVD), die vom US National Institute of Standards and Technology (NIST) betrieben wird, ordnete diesen Schwachstellen fünf CVE-Einträge (Common Vulnerabilities and Exposures) zu, die teilweise mit 9,3 von 10 Punkten als besonders kritisch eingestuft wurden. Das Team verwendete bei ihren For­schungs­arbeiten das speziell für dieses Projekt entwickelte Testwerkzeug CURE, das ATHENE allen Entwicklern von RPKI-Software kostenlos zur Verfügung stellt.Die Forschenden fanden Schwachstellen in allen gängigen Implementierungen der Validator-Komponente von RPKI. Diese reichen von Abstürzen über die Verletzung des Standardverhaltens bis hin zu schwerwiegenden Fehlern, die es Angreifern ermöglichen, eine RPKI-Zertifikatshierarchie vollständig zu übernehmen, um den eigenen Vertrauensanker einzuschleusen - und so authentische und gültige, aber betrügerische Routing-Informationen (d. h. BGP-Ankündigungen) zu erzeugen. Es ist nicht bekannt, ob eine der Schwachstellen bereits von Hackern ausgenutzt wurde.

RPKI ist ein vergleichsweise neuer Standard. Heute sind etwa 50 % der Netzpräfixe des Internets durch RPKI-Zertifikate abgedeckt, und 37,8 % aller Internet-Domänen validieren RPKI-Zertifikate. Insbesondere viele große Anbieter und Betreiber unterstützen RPKI, z. B. Amazon Web Services, Cogent, Deutsche Telekom, Level 3 und Zayo.

Die For­schungs­arbeit entstand im ATHENE-Forschungsbereich Analytic Based Cybersecurity (ABC) (mehr Informationen unter https://abc.athene-center.de/ ) und erschien auf dem 2024 Network and Distributed System Security (NDSS) Symposium in San Diego, Kalifornien, USA. Das Forschungspapier kann unter https://www.ndss-symposium.org/ndss-paper/the-cure-to-vulnerabilities-in-rpki-validation/  heruntergeladen werden. Das von den Forschenden entwickelte und zur Aufdeckung der Schwachstellen verwendete Testtool CURE kann unter https://github.com/rp-cure/rp-cure  heruntergeladen werden.


Über ATHENE


Das Nationale Forschungszentrum für angewandte Cybersicherheit ATHENE ist ein Forschungszentrum der Fraunhofer-Gesellschaft, an dem die beiden Fraunhofer-Institute SIT und IGD sowie die Technische Universität Darmstadt, die Goethe-Universität Frankfurt und die Hochschule Darmstadt mitwirken. Mit mehr als 600 Wissenschaftlerinnen und Wissenschaftlern ist ATHENE das bedeutendste Cybersecurity-Forschungszentrum in Europa und die führende wissenschaftliche Forschungseinrichtung in Deutschland auf diesem Gebiet. ATHENE wird vom Bundesministerium für Bildung und Forschung (BMBF) und dem Hessischen Ministerium für Wissenschaft, Forschung und Kunst (HMWK) gefördert. 

Weitere Informationen über ATHENE unter https://www.athene-center.de/


Mehr zu den Themen:

Verwandte Artikel

Cybersicherheit – Eine Daueraufgabe mit höchster Priorität

Cybersicherheit – Eine Daueraufgabe mit höchster Priorität

Digitale Sicherheit ist ein entscheidender Faktor für den Wirtschaftsstandort Deutschland.

Wirtschaft und Verwaltung vor Cyberattacken schützen: Gesetzentwurf zur Umsetzung der EU-Richtlinie zur Netzwerk- und Informationssicherheit

Wirtschaft und Verwaltung vor Cyberattacken schützen: Gesetzentwurf zur Umsetzung der EU-Richtlinie zur Netzwerk- und Informationssicherheit

Bundesinnenministerin Nancy Faeser hat einen Gesetzentwurf vorgelegt, mit dem das deutsche IT-Sicherheitsrecht umfassend modernisiert und neu strukturiert wird.

BSI eröffnet 20. Deutschen IT-Sicherheitskongress: Cybersicherheit gemeinsam erhöhen

BSI eröffnet 20. Deutschen IT-Sicherheitskongress: Cybersicherheit gemeinsam erhöhen

Der BSI-Kongress, der unter dem Motto „Cybernation Deutschland: Kooperation gewinnt“ steht, findet am 7. und 8. Mai in Bonn statt.

: