Harminc éve létezik egy meglehetősen súlyos tervezési hiba a RADIUS (Remote Authentication Dial-In User Service) protokollban. A sérülékenységet egy a Bostoni Egyetem, a Cloudflare, a BastionZero, a Microsoft Research, a Centrum Wiskunde & Informatica és a San Diegó-i Kaliforniai Egyetem kutatóiból álló csapat találta meg és publikálta a napokban, egyben felhívta a szép számú érintett figyelmét, hogy sürgősen kezeljék a problémát.
A Blast RADIUS-nak elnevezett sérülékenység, melyet a a cve.org a CVE-2024-3596, a CERT Coordination Center pedig a VU#456537 azonosítóval rögzített, lehetővé teszi egy hálózatban bármilyen többfaktoros azonosítás megkerülését és közbeékelődéses támadások (man-in-the-middle attack) végrehajtását. A kutatók figyelmeztetnek: ha nem javítják, az nem csak a vállalatok belső hálózataira, hanem az internet-szolgáltatókra (ISP) és a távközlési cégekre is komoly kockázatot jelent.
A támadásra az ad lehetőséget, hogy a RADIUS protokollban egyes Access-Request csomagok nem tartalmaznak hitelesítést vagy integritás-ellenőrzést. Ez lehetőséget ad a támadónak arra, hogy egy ún. chosen-prefix collision támadással módosítsa az adott csomagot, így ráhatással lehet arra, hogy ki hogyan kapcsolódjon a hálózathoz.
Ahol hálózat van, ott támadhat a Blast RADIUS
Az 1991-ben kifejlesztett RADIUS protokollt a 1990-es évek végére szabványosították, és része lett többek között az IEEE 802a hálózati szabványcsaládnak is. A hálózati hozzáférés ellenőrzésére való protokollt ma is széles körben használják, például switchekben, routerekben, acces pointokban és VPN-ekben. A kutatók szerint valószínűsíthetően minden, a szabványnak megfelelő RADIUS-kliens és -kiszolgáló ki van téve a Blast RADIUS kockázatának még akkor is, ha a RADIUS protokoll minden aspektusát megfelelően implementálták.
A kutatók még azt a kijelentést is megkockáztatták, hogy ez a RADIUS protokoll eddigi legsúlyosabb sérülékenysége. Arra utaló jeleket azonban nem találtak, hogy támadók kihasználták volna a lehetőséget. Létrehoztak egy proof-of-concept exploitot is, amivel modelleztek egy lehetséges támadást. Ebből az derült ki, hogy a támadás végrehajtásához nagyon sok erőforrás kell, azaz jó eséllyel csak állami hátszéllel dolgozó hekkercsapatok fognak lecsapni rá.
A probléma rövid távon azzal orvosolható, hogy a hálózat minden kérés és válasz esetében megköveteli a Message-Authenticator attribútumot. Végleges megoldást azonban a RADIUS-kiszolgálók és -kliensek frissítése adhat majd, ehhez a szállítóktól folyamatosan érkeznek a patchek.
a melléklet támogatója az EURO ONE
Projektek O-gyűrűje. Mit tanulhat egy projektvezető a Challenger tragédiájából?