O vulnerabilitate recent descoperită în protocolul RADIUS expune rețelele la atacuri de tip Man-in-the-Middle (MitM). Această problemă de securitate, numită BlastRADIUS, permite atacatorilor să modifice pachetele de date fără a fi detectați, punând în pericol securitatea utilizatorilor și a organizațiilor care folosesc acest protocol.
TL;DR
- Vulnerabilitate în protocolul RADIUS numită BlastRADIUS
- Permite atacuri de tip Man-in-the-Middle (MitM)
- Afectează toate implementările standard ale RADIUS
- Necesită actualizarea la ultima versiune pentru protecție
Ce este RADIUS?
RADIUS (Remote Authentication Dial-In User Service) este un protocol de autentificare utilizat pe scară largă pentru gestionarea centralizată a accesului la rețele. Acesta oferă trei funcții principale: autentificare, autorizare și contabilizare (AAA). Cu alte cuvinte, RADIUS ajută rețelele să verifice identitatea utilizatorilor, să le acorde permisiuni și să înregistreze activitățile lor.
Vulnerabilitatea BlastRADIUS
BlastRADIUS este o vulnerabilitate recent descoperită care afectează RADIUS. Conform lui Alan DeKok, CEO al InkBridge Networks și creatorul proiectului FreeRADIUS, această vulnerabilitate permite atacatorilor să modifice pachetele Access-Request fără a fi detectați. “Un atacator poate forța orice utilizator să se autentifice și să primească orice autorizare (VLAN, etc.)” a explicat DeKok.
Cum funcționează atacul?
Securitatea RADIUS se bazează pe un hash derivat din algoritmul MD5, care a fost considerat nesigur încă din 2008 din cauza riscului de atacuri de coliziune. Aceasta înseamnă că pachetele Access-Request pot fi modificate astfel încât să treacă toate verificările de integritate originale.
Pentru ca atacul să reușească, adversarul trebuie să poată modifica pachetele RADIUS în tranzit între clientul și serverul RADIUS. Organizațiile care trimit pachete prin internet sunt cele mai expuse.
Măsuri de atenuare
Există câteva măsuri care pot reduce riscul acestui atac. Utilizarea TLS pentru a transmite traficul RADIUS și creșterea securității pachetelor prin atributul Message-Authenticator sunt două dintre ele. De asemenea, utilizarea metodelor de autentificare TLS sau IPSec poate preveni atacul, la fel ca și utilizarea 802.1X (EAP).
DeKok subliniază că metodele de autentificare PAP, CHAP și MS-CHAPv2 sunt cele mai vulnerabile. “ISP-urile și organizațiile trebuie să-și actualizeze serverele RADIUS și echipamentele de rețea pentru a se proteja,” a adăugat acesta.
Impactul vulnerabilitatii
Această vulnerabilitate, care are un scor CVSS de 9.0, afectează în special rețelele care trimit trafic RADIUS/UDP prin internet. Este important de menționat că majoritatea traficului RADIUS este trimis “în clar,” ceea ce îl face vulnerabil la interceptare și modificare.
“Acest atac este rezultatul neglijării securității protocolului RADIUS pentru o perioadă foarte lungă de timp,” a spus DeKok. “Standardele au sugerat de mult timp protecții care ar fi prevenit atacul, dar aceste protecții nu au fost făcute obligatorii.”
Concluzie
Organizațiile și furnizorii de servicii de internet (ISP-uri) trebuie să-și actualizeze imediat serverele și echipamentele pentru a se proteja împotriva acestei vulnerabilități critice. Utilizarea metodelor de autentificare mai sigure și implementarea protecțiilor recomandate este esențială pentru a preveni atacurile de tip Man-in-the-Middle și pentru a asigura integritatea rețelelor.
Sursa articolului:
https://thehackernews.com/2024/07/radius-protocol-vulnerability-exposes.html