Harminc éve létezik egy meglehetősen súlyos tervezési hiba a RADIUS (Remote Authentication Dial-In User Service) protokollban. A sérülékenységet egy a Bostoni Egyetem, a Cloudflare, a BastionZero, a Microsoft Research, a Centrum Wiskunde & Informatica és a San Diegó-i Kaliforniai Egyetem kutatóiból álló csapat találta meg és publikálta a napokban, egyben felhívta a szép számú érintett figyelmét, hogy sürgősen kezeljék a problémát.
A Blast RADIUS-nak elnevezett sérülékenység, melyet a a cve.org a CVE-2024-3596, a CERT Coordination Center pedig a VU#456537 azonosítóval rögzített, lehetővé teszi egy hálózatban bármilyen többfaktoros azonosítás megkerülését és közbeékelődéses támadások (man-in-the-middle attack) végrehajtását. A kutatók figyelmeztetnek: ha nem javítják, az nem csak a vállalatok belső hálózataira, hanem az internet-szolgáltatókra (ISP) és a távközlési cégekre is komoly kockázatot jelent.
A támadásra az ad lehetőséget, hogy a RADIUS protokollban egyes Access-Request csomagok nem tartalmaznak hitelesítést vagy integritás-ellenőrzést. Ez lehetőséget ad a támadónak arra, hogy egy ún. chosen-prefix collision támadással módosítsa az adott csomagot, így ráhatással lehet arra, hogy ki hogyan kapcsolódjon a hálózathoz.
Ahol hálózat van, ott támadhat a Blast RADIUS
Az 1991-ben kifejlesztett RADIUS protokollt a 1990-es évek végére szabványosították, és része lett többek között az IEEE 802a hálózati szabványcsaládnak is. A hálózati hozzáférés ellenőrzésére való protokollt ma is széles körben használják, például switchekben, routerekben, acces pointokban és VPN-ekben. A kutatók szerint valószínűsíthetően minden, a szabványnak megfelelő RADIUS-kliens és -kiszolgáló ki van téve a Blast RADIUS kockázatának még akkor is, ha a RADIUS protokoll minden aspektusát megfelelően implementálták.
A kutatók még azt a kijelentést is megkockáztatták, hogy ez a RADIUS protokoll eddigi legsúlyosabb sérülékenysége. Arra utaló jeleket azonban nem találtak, hogy támadók kihasználták volna a lehetőséget. Létrehoztak egy proof-of-concept exploitot is, amivel modelleztek egy lehetséges támadást. Ebből az derült ki, hogy a támadás végrehajtásához nagyon sok erőforrás kell, azaz jó eséllyel csak állami hátszéllel dolgozó hekkercsapatok fognak lecsapni rá.
A probléma rövid távon azzal orvosolható, hogy a hálózat minden kérés és válasz esetében megköveteli a Message-Authenticator attribútumot. Végleges megoldást azonban a RADIUS-kiszolgálók és -kliensek frissítése adhat majd, ehhez a szállítóktól folyamatosan érkeznek a patchek.
Így lehet sok önálló kiberbiztonsági eszközéből egy erősebbet csinálni
A kulcsszó a platform. Ha egy cég jó platformot választ, akkor az egyes eszközök előnyei nem kioltják, hanem erősítik egymást, és még az üzemeltetés is olcsóbb lesz.
Három fájdalompont, amire az IT szolgáltatásmenedzsment gyors válaszokat adhat.
Nyílt forráskód: valóban ingyenes, de használatának szigorú szabályai vannak