Новая критическая уязвимость в протоколе RADIUS, получившая название BlastRADIUS (CVE-2024-3596), оставляет большинство сетевого оборудования открытым для атак типа «человек посередине» (MitM). Несмотря на то, что уязвимость сложно использовать, возможные последствия ее применения весьма значительны.
Что поставлено на карту?
«Чтобы защитить предприятия от BlastRADIUS, каждый сетевой коммутатор, маршрутизатор, брандмауэр, VPN-концентратор, точка доступа и DSL-шлюз во всем мире должен быть обновлен, чтобы добавить проверки целостности и аутентификации для этих пакетов»
- объясняет Алан ДеКок, генеральный директор InkBridge Networks и один из ведущих экспертов по серверам RADIUS
Сетевым администраторам необходимо загрузить обновление и изменить настройки конфигурации».
Эта проблема должна быть решена для обеспечения безопасности доступа к сети для предприятий, университетов, облачных провайдеров и интернет-провайдеров, использующих RADIUS. Уязвимость представляет собой MitM-атаку, которая может быть использована для получения дополнительного доступа. В случае ее использования неавторизованные пользователи могут получить доступ к сети, провести ложную аутентификацию пользователей и выдать разрешения.
По словам ДеКока, BlastRADIUS позволяет злоумышленнику использовать определенные пакеты RADIUS. «Протокол RADIUS позволяет некоторым сообщениям Access-Request не иметь проверок целостности и аутентификации. В результате злоумышленник может модифицировать эти пакеты. Злоумышленник может заставить любого пользователя пройти аутентификацию и предоставить ему любые полномочия (VLAN и т. д.)».
«Протокол RADIUS является основополагающим элементом большинства систем сетевого доступа по всему миру. По состоянию на 9 июля почти все эти системы больше не являются безопасными. Обнаружение проблемы BlastRADIUS означает, что сетевые специалисты должны установить обновления прошивки на каждое устройство, связанное с сетевой безопасностью, идентификацией и аутентификацией. Мы считаем, что эта проблема может затронуть интернет-провайдеров, предприятия и большинство поставщиков «облачных» идентификаторов»
- говорит ДеКок
Кто в зоне риска?
«В частности, наиболее уязвимыми являются методы аутентификации PAP, CHAP и MS-CHAPv2
- поясняет ДеКок.
Интернет-провайдерам придется обновить свои серверы RADIUS и сетевое оборудование. Уязвимы все, кто использует аутентификацию по MAC-адресам или RADIUS для входа администраторов в коммутаторы. Использование TLS или IPSec предотвращает атаку, а 802.1X (EAP) не уязвим.
Для большинства предприятий злоумышленнику нужен доступ к VLAN управлению. Провайдеры могут быть уязвимы, если они отправляют трафик RADIUS через промежуточные сети, такие как сторонние аутсорсинговые компании или через Интернет. Некоторые виды использования RADIUS безопасны, в том числе eduroam и OpenRoaming от Wireless Broadband Alliance.
Что уязвимо для BlastRADIUS?
- PAP
- CHAP
- MS-CHAPv2
- Другие методы аутентификации, не относящиеся к EAP
Системы, считающиеся неуязвимыми
- 802.1x
- IPSec
- TLS
- Eduroam
- OpenRoaming
ДеКок и его команда также поддерживают проект FreeRADIUS с открытым исходным кодом и участвуют в разработке стандартов IETF. Он написал первый документ, в котором определил, как производители должны обновлять свое оборудование для защиты от этой атаки. Он также пишет стандарты RADIUS, которые будут включать эти рекомендации. В обновленных стандартах будет учтена эта новая уязвимость, а также другие проблемы безопасности RADIUS.
Как защититься от уязвимости BlastRADIUS
Для сетевого оборудования установите все обновления прошивки, которые доступны от поставщика сетевого оборудования. Кроме того, следуйте документации производителя для настройки обновленной прошивки, иначе вы все еще можете быть уязвимы.
Обновления FreeRADIUS для уязвимости BlastRADIUS доступны для загрузки здесь. Для получения более подробной информации посетите сайт исследователя.