博客

Blast-RADIUS 漏洞需要立即采取行动

Erin Verna 缩略图
艾琳·维尔纳
2024 年 7 月 31 日发布

常见客户端-服务器网络协议 RADIUS 的一个缺陷最近引起了媒体和网络安全专家的广泛关注。 该漏洞是由来自大学和技术行业同行的研究人员发现的,其通用漏洞评分系统 (CVSS) 评分为 9 分,属于严重漏洞领域( CVE-2024-3596VU#456537 )。 鉴于 RADIUS 协议支持自 1990 年代末以来部署的大多数路由器、交换机和 VPN 接入点,它为攻击者通过 RADIUS 客户端和服务器之间的中间人 (MITM) 攻击绕过用户身份验证打开了方便之门。 攻击者随后可以访问任何依赖 RADIUS 协议的设备、网络或互联网服务。

该漏洞是如何运作的?

根据美国国家标准与技术研究所 (NIST) 的国家漏洞数据库 (NVD) 的说法,RFC 2865 下的 RADIUS 协议“容易受到本地攻击者的伪造攻击,攻击者可以使用针对 MD5 响应认证器签名的选择前缀碰撞攻击,将任何有效响应(访问接受、访问拒绝或访问质询)修改为任何其他响应。” 

在这种情况下,攻击者可以将权限提升到网络设备和服务,而无需诉诸撞库攻击等暴力攻击。 发现该漏洞的大学研究人员和大型科技组织创建了一个Blast-RADIUS 网站,其中包含有关漏洞和缓解方法的大量信息,以及一些有价值的问题和解答。

简单总结一下,该威胁模型要求攻击者获得网络访问权限,然后充当 RADIUS 客户端和 RADIUS 服务器之间的“中间人”,从而能够读取、拦截、修改或阻止入站和出站数据包。 如果使用代理,攻击可能发生在任何跳跃之间。

谁会受到影响?

任何实施 RADIUS但未使用基于用户数据报协议 (UDP) 的可扩展身份验证协议 (EAP) 的组织都容易受到攻击,应立即升级其 RADIUS 服务器。 EAP 是网络连接中经常使用的身份验证框架(请参阅 IETF Datatracker 的RFC 3748 - 可扩展身份验证协议摘要)。 据研究人员称,Blast-RADIUS 似乎不会影响仅进行 EAP 身份验证的 RADIUS 服务器(尽管仍然建议升级所有内容)。

你应该做什么?

您现在可以采取以下步骤来保护您的网络:

  1. 正如Blast-RADIUS 网站所述,首先您应该立即升级 RADIUS 服务器,然后尽可能升级客户端。 确保通过每个请求和响应(即访问接受、访问拒绝或访问质询)的“消息验证器”属性为 RADIUS 数据包启用加密签名
  2. 从长远来看,在加密和认证通道内使用 RADIUS是网络安全专家的当前建议。
  3. 鉴于许多攻击者依靠隐藏在加密流量中的恶意软件来破坏网络,因此全面了解 SSL/TLS 流量也至关重要。 如果您熟悉F5 BIG-IP SSL Orchestrator ,那么该解决方案有助于根除隐藏在加密背后的恶意流量,以防止攻击者破坏或在您的环境中横向移动。

需要稍微复习一下 RADIUS 吗?

RADIUS 网络协议是一种业界认可的标准,用于通过身份验证、授权和记帐 (AAA) 来控制网络访问。 RADIUS 协议支持自 1990 年代开发以来部署的几乎所有交换机、路由器、访问控制点或 VPN 集线器。

公平地说,鉴于自 RADIUS 首次亮相以来威胁形势的急剧变化,它在设计时并没有考虑到当今的网络安全威胁策略。 但我们知道脆弱性是不可避免的。 最好的回应是迅速的: 只要你有能力,就立即进行修补和升级。 采用分层安全方法对于最大限度地减少攻击者成功造成的影响也至关重要。 无论是 Blast-RADIUS 还是下一个成为头条新闻的漏洞,在网络中的每个关键点采取保护措施对于阻止攻击者的横向移动、遏制他们的攻击行为并最大限度地减少损害至关重要。