El 10 de noviembre de 2021, el Centro Nacional de Seguridad Cibernética (NCSC) anunció la coordinación de un proceso de divulgación responsable de vulnerabilidades (CVD) a nivel multilateral en relación con las vulnerabilidades encontradas en el software de validación RPKI (Resource Public Key Infrastructure). Este proceso se originó después de que investigadores se acercaran al NCSC a principios de año, solicitando apoyo en su esfuerzo por abordar dificultades de seguridad inherente a este sistema crítico.
Como parte de la respuesta a estos hallazgos, el NCSC notificó a diversas partes interesadas sobre la existencia de las vulnerabilidades encontradas y colaboró con ellas para establecer una fecha adecuada para la implementación de actualizaciones de seguridad. En un aviso de seguridad emitido el 9 de noviembre (NCSC-2021-0987), el NCSC no solo alertó sobre las vulnerabilidades, sino que también proporcionó detalles sobre las soluciones que diferentes desarrolladores han implementado para mitigarlas.
Entre los desarrolladores que han lanzado actualizaciones están:
- Cloudflare: Han emitido actualizaciones en su herramienta OctoRPKI para abordar las vulnerabilidades reportadas.
- FORT Validator: Los desarrolladores han lanzado parches para corregir las fallas de seguridad detectadas.
- NLnet Labs: Han publicado actualizaciones para su software Routinator, que también corrige las vulnerabilidades.
- OpenBSD: Los desarrolladores han proporcionado actualizaciones para su cliente rpki 7.5, remediando las vulnerabilidades identificadas.
- RIPE NCC: Cabe mencionar que el RPKI Validator 3 dejó de recibir soporte a partir del 1 de julio de 2021, por lo que no se emitirán más actualizaciones de seguridad para esta versión.
- rpki-prover: También han lanzado nuevas versiones para resolver las vulnerabilidades encontradas.
El NCSC ha subrayado la importancia de compartir y discutir las lecciones aprendidas a partir de este proceso de CVD, con el objetivo de mejorar la seguridad digital tanto a nivel nacional como internacional. Este esfuerzo es un paso crucial en el fortalecimiento de las infraestructuras críticas y la protección contra potenciales amenazas cibernéticas.