路由協(xié)議對于互聯(lián)網(wǎng)及建立在其之上的眾多服務(wù)的正常運(yùn)作起到了關(guān)鍵作用。然而，許多這些協(xié)議是在沒有考慮安全問題的情況下開發(fā)的。

比如說，邊界網(wǎng)關(guān)協(xié)議（BGP）起初并沒有考慮對等節(jié)點(diǎn)之間可能發(fā)生的攻擊。在過去的幾十年里，人們在BGP的起源和路徑驗證方面投入了大量的研究。然而，忽略BGP實施的安全性、尤其是消息解析的安全性已導(dǎo)致了多個漏洞，結(jié)果被用來實現(xiàn)拒絕服務(wù)攻擊（DoS）。

安全行業(yè)有一種普遍的態(tài)度：“如果它沒有壞，就別去修它”。人們往往忽視安全審計，錯誤地認(rèn)為這些類型的漏洞不如起源和路徑驗證問題來得嚴(yán)重。

傳統(tǒng)的風(fēng)險評估常常無法徹底檢查網(wǎng)絡(luò)上的所有軟件和設(shè)備及其影響，因而形成盲區(qū)。當(dāng)組織甚至沒有意識到這些路由協(xié)議在使用時，安全缺口會變得更加刺眼。路由協(xié)議可能出現(xiàn)在人們意想不到的更多地方，比如數(shù)據(jù)中心、跨組織站點(diǎn)的VPN以及嵌入到定制設(shè)備中。

不為人知的風(fēng)險

在過去的一年里，威脅分子越來越多地瞄準(zhǔn)網(wǎng)絡(luò)設(shè)備，包括路由器。美國網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局（CISA）已發(fā)布了一項具有約束力的操作指令，要求聯(lián)邦機(jī)構(gòu)減小這些設(shè)備的風(fēng)險。

這種對路由器的高度關(guān)注引起了業(yè)界對底層路由協(xié)議安全性的關(guān)注。比如說，已出現(xiàn)了威脅分子利用路由器進(jìn)行偵察、惡意軟件部署以及指揮和控制通信的情況。CISA已知的被利用漏洞目錄中還有三個BGP DoS問題，以及影響另一種路由協(xié)議實施的另外兩個DoS漏洞。

此外，BGP劫持和泄漏也引起了人們的關(guān)注，導(dǎo)致這類事件頻發(fā)：流量被重定向到意想不到的目的地，有可能暴露敏感信息。數(shù)據(jù)中心攻擊帶來了另一大風(fēng)險，因為路由協(xié)議中的漏洞可以被利用來將數(shù)據(jù)中心與互聯(lián)網(wǎng)隔離，從而使其服務(wù)無法訪問。

風(fēng)險評估方面的盲區(qū)

要堵住風(fēng)險評估方面的盲區(qū)，需要采取多管齊下的做法。

組織應(yīng)該盡可能頻繁地給網(wǎng)絡(luò)基礎(chǔ)設(shè)施打上補(bǔ)丁，但你無法修復(fù)你不知道壞掉的東西。實際上，應(yīng)該為連接到網(wǎng)絡(luò)的所有設(shè)備及在網(wǎng)絡(luò)上運(yùn)行的軟件（包括路由協(xié)議）列一份資產(chǎn)清單。

這種安全意識使組織能夠識別漏洞，并采取必要的措施來確定補(bǔ)救工作的優(yōu)先級。組織還可以通過實施分段策略來降低這些風(fēng)險，從而保護(hù)未打補(bǔ)丁的設(shè)備不暴露在互聯(lián)網(wǎng)上。

理想情況下，安全應(yīng)該從軟件開發(fā)人員開始做起，他們可以通過使用增強(qiáng)的靜態(tài)和動態(tài)分析技術(shù)以及保護(hù)軟件開發(fā)生命周期，降低路由協(xié)議實施中出現(xiàn)漏洞的可能性。此外，應(yīng)該建立有效的溝通機(jī)制，以便及時地處理和解決任何已確定的漏洞。

同樣，將這些協(xié)議整合到其設(shè)備中的供應(yīng)商成為了供應(yīng)鏈中第三方風(fēng)險的來源。實施軟件物料清單（SBOM）可以更深入地了解設(shè)備和網(wǎng)絡(luò)中存在的漏洞，從而使組織能夠更好地管理風(fēng)險。然而，當(dāng)供應(yīng)商不提供這種透明度（或者供應(yīng)商不知道其設(shè)備受到影響）時，責(zé)任最終就落在組織的身上，需要積極主動地評估攻擊面。

最后，安全研究社區(qū)在發(fā)現(xiàn)和負(fù)責(zé)任地披露這些安全漏洞方面發(fā)揮著重要的作用。在某些情況下，安全研究社區(qū)提供了比安全公告更及時、更有效的補(bǔ)救和緩解建議，補(bǔ)救和緩解建議本該是由軟件開發(fā)人員和供應(yīng)商發(fā)布的。比如在最近的BGP漏洞中，安全研究人員發(fā)布了一個開源的BGP模糊測試工具，可以快速測試協(xié)議實施以發(fā)現(xiàn)漏洞。

暴露風(fēng)險

影響軟件的漏洞還會影響連接的設(shè)備，因此增強(qiáng)安全性需要兩者共同努力。安全研究人員可以提高公眾對路由協(xié)議的潛在風(fēng)險及其對更廣泛生態(tài)系統(tǒng)造成的影響的認(rèn)識，但最終還是由組織負(fù)責(zé)倡導(dǎo)加強(qiáng)安全性。

組織必須重視全面了解自己的網(wǎng)絡(luò)設(shè)備，而不僅僅是傳統(tǒng)的端點(diǎn)和服務(wù)器，還要了解所有的軟件和設(shè)備。它們必須實施嚴(yán)格的脆弱性評估，并建立有效的威脅檢測和響應(yīng)機(jī)制。

軟件開發(fā)人員和供應(yīng)商需要改進(jìn)其安全實踐，加強(qiáng)溝通，并提高透明度。通過共同努力，我們才能加強(qiáng)路由協(xié)議的安全性，并保護(hù)我們這個高度互聯(lián)的世界。

本文翻譯自：https://www.darkreading.com/vulnerabilities-threats/unveiling-the-hidden-risks-of-routing-protocols如若轉(zhuǎn)載，請注明原文地址