NCSC Advisories

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA512

   #####################################################
  ##  N C S C ~ B E V E I L I G I N G S A D V I E S  ##
 #####################################################

Titel           : Kwetsbaarheden aangetroffen in RPKI-validators
Advisory ID     : NCSC-2021-0987
Versie          : 1.00
Kans            : medium
CVE ID          :
                  (Details over de kwetsbaarheden kunt u vinden op
                   de Mitre website: https://cve.mitre.org/cve/)
Schade          : medium
                  Denial-of-Service (DoS)
Uitgiftedatum   : 20211109
Toepassing      : Cloudflare OctoRPKI
                  FORT Validator
                  NLnet Labs Routinator
                  OpenBSD rpki-client
                  RIPE NCC RPKI Validator
                  RPSTIR2
                  rpki-prover
Versie(s)       :
Platform(s)     : OpenBSD

Beschrijving
   Onderzoekers van de Universiteit Twente hebben kwetsbaarheden
   aangetroffen in diverse RPKI-validators. RPKI-validators worden
   gebruikt om te valideren dat een route die via BGP wordt verspreid
   afkomstig is van een AS dat geautoriseerd is om deze route te
   verspreiden.

   De kwetsbaarheden maken het voor een ongeauthenticeerde
   kwaadwillende mogelijk om een Denial-of-Service (DoS) op de
   RPKI-validator te veroorzaken. Dit heeft tot gevolg dat routes niet
   meer door RPKI worden gevalideerd. Voor het valideren van BGP-routes
   wordt daardoor teruggevallen op andere (mogelijk onveiligere)
   validatietechnieken.

   Voor de kwetsbaarheden zijn nog geen CVE-kenmerken beschikbaar
   gesteld. Niet elke RPKI-validator is voor elk van de door de
   onderzoeker gevonden kwetsbaarheden kwetsbaar.

Mogelijke oplossingen
   -= Cloudflare =-
   Cloudflare heeft aangegeven updates voor OctoRPKI beschikbaar te
   gaan stellen om de kwetsbaarheden te verhelpen. Voor actuele
   informatie, zie:

   https://github.com/cloudflare/cfrpki

   -= FORT =-
   De ontwikkelaar van FORT Validator hebben updates beschikbaar
   gesteld om de kwetsbaarheden te verhelpen. Voor meer informatie,
   zie:

   https://github.com/NICMx/FORT-validator/releases/tag/1.5.3

   -= NLnet Labs =-
   NLnet Labs heeft aangegeven updates voor Routinator beschikbaar te
   gaan stellen om de kwetsbaarheden te verhelpen. Voor meer
   informatie, zie:

   https://github.com/NLnetLabs/routinator

   -= OpenBSD =-
   De ontwikkelaars van OpenBSD hebben updates uitgebracht om de
   kwetsbaarheden te verhelpen in rpki-client 7.5. Voor meer
   informatie, zie:

   https://marc.info/?l=openbsd-tech&m=163646702631430
   https://marc.info/?l=openbsd-tech&m=163646660131121

   -= RIPE NCC =-
   RIPE NCC heeft aangegeven dat RPKI Validator 3 sinds 1 juli 2021
   niet meer wordt ondersteund en geen (beveiliging)updates meer
   ontvangt. Voor meer informatie over RPKI Validator 3, zie:

   https://github.com/RIPE-NCC/rpki-validator-3

Vrijwaringsverklaring
   Door gebruik van deze security advisory gaat u akkoord met de
   navolgende voorwaarden. Ondanks dat het NCSC de grootst mogelijke
   zorg heeft betracht bij de samenstelling van dit beveiligingsadvies,
   kan het NCSC niet instaan voor de volledigheid, juistheid of
   (voortdurende) actualiteit van dit beveiligingsadvies. De informatie
   in dit beveiligingsadvies is uitsluitend bedoeld als algemene
   informatie voor professionele partijen. Aan de informatie in dit
   beveiligingsadvies kunnen geen rechten worden ontleend. Het NCSC
   en de Staat zijn niet aansprakelijk voor enige schade ten gevolge
   van het gebruik of de onmogelijkheid van het gebruik van dit
   beveiligingsadvies, waaronder begrepen schade ten gevolge van de
   onjuistheid of onvolledigheid van de informatie in dit
   beveiligingsadvies. Op dit beveiligingsadvies is Nederlands recht
   van toepassing. Alle geschillen in verband met en/of voortvloeiend
   uit dit beveiligingsadvies zullen worden voorgelegd aan de exclusief
   bevoegde rechter te Den Haag. Deze rechtskeuze geldt tevens voor de
   voorzieningenrechter in kort geding.

-----BEGIN PGP SIGNATURE-----
Version: Encryption Desktop 10.4.2 (Build 1298)
Charset: utf-8
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=uZA5
-----END PGP SIGNATURE-----