官方公众号企业安全新浪微博
FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。
FreeBuf+小程序
近期安全分析师发现,委内瑞拉国有电信公司CANTV在美国针对尼古拉斯·马杜罗的军事行动前夕发生BGP泄漏事件。通过事后数据分析还原,部分观察者推测这可能是美国政府为获取军事行动关键情报而实施的流量劫持。
这一发现迅速引发安全社区广泛关注,并引起Cloudflare安全研究团队的注意。但经过历史路由数据核查,Cloudflare分析师Bryton Herdes认为CANTV的BGP泄漏更可能是技术失误所致——当地时间2026年1月2日,就在美国对委内瑞拉发起特别军事行动前,该国国有运营商CANTV(AS8048)出现了明显的BGP泄漏。
部分分析人员观察到,AS8048的流量异常重定向至意大利中转服务商Sparkle,这家以不执行RPKI过滤且安全声誉不佳闻名的运营商。有观点将此路由异常解读为情报机构为实施中间人拦截与流量收集的蓄意操作。值得注意的是,异常路径表现出极端自降优先级特征:AS8048执行了多达十次AS路径预置(AS-path prepending),这在BGP协议中会导致路由吸引力骤降。
Cloudflare团队指出,若攻击者意图窃取流量,理应发布更短、更具吸引力的路由,而非刻意制造多次绕行。另一个关键证据是事件复发模式——自2025年12月以来,AS8048已发生多达11次类似路由泄漏,强烈表明这是CANTV长期存在的出入口过滤策略缺陷,而非针对特定军事行动的孤立行为。
运营商层级关系同样削弱了间谍论调。受影响IP前缀属于委内瑞拉本地服务商Dayco Telecom(AS21980),而CANTV作为其上游运营商本已拥有合法流量访问权限,实施复杂BGP劫持显得多此一举。该事件再次暴露BGP安全机制的脆弱性——尽管Sparkle因未执行RPKI过滤被标记为不安全,但即便部署RPKI路由源验证(ROV)也无法阻止此类异常,因为ROV仅能验证路由发布者身份,而本次事件中路由源并未改变,仅中间路径异常。
这一局限性凸显了IETF正在推进的新标准ASPA(自治系统提供商授权)的重要性。ASPA允许网络正式声明其合法上游提供商,若广泛采用,可自动阻断AS8048流量不当转发至无关提供商的"发夹式"泄漏。Cloudflare警示称,虽然将委内瑞拉网络异常归因于电信级特殊行动更具戏剧性,但现实往往更为平淡:互联网基础设施最严重的弱点常源于基础运维失误。该事件提醒全球运营商,在混合战争时代,全面落实RFC 9234标准和"仅限客户"(OTC)属性已不仅是技术实践,更关乎国家基础设施保护。
参考来源:
本文为 独立观点,未经授权禁止转载。
如需授权、对文章有疑问或需删除稿件,请联系 FreeBuf
客服小蜜蜂(微信:freebee1024)