Offizieller Blog
해리슨 블로그

Entdeckung einer kritischen Schwachstelle im 30 Jahre alten RADIUS-Protokoll

  • Verfasst in: Koreanisch
  • Land: Alle Ländercountry-flag
  • IT

Erstellt: 2024-07-13

Erstellt: 2024-07-13 14:34

Entdeckung einer kritischen Schwachstelle im 30 Jahre alten RADIUS-Protokoll: BlastRADIUS-Sicherheitslücke

Im RADIUS-Protokoll, das bisher als Kern der Netzwerkauthentifizierung galt, wurde eine schwerwiegende Sicherheitslücke entdeckt. Diese seit 30 Jahren versteckte Schwachstelle wurde als 'BlastRADIUS' bezeichnet. Doch warum ist diese Schwachstelle so lange unentdeckt geblieben?

Was ist RADIUS?

RADIUS steht für 'Remote Authentication Dial-In User Service'. Es handelt sich um ein Protokoll, das Benutzer authentifiziert und Berechtigungen erteilt, wenn sie sich mit einem Netzwerk verbinden. Vereinfacht gesagt, übernimmt es die Rolle eines Türstehers, der bei jedem Netzwerkzugriff fragt: "Wer bist du? Darf ich dich hereinlassen?"

RADIUS wird an verschiedenen Stellen eingesetzt, wobei die gebräuchlichste Anwendung im Alltag das Wi-Fi-Authentifizierungssystem in Unternehmen ist. Nehmen wir ein Beispiel.

Bei einem normalen Wi-Fi-Netzwerk reicht zur Verbindung lediglich ein Passwort. Doch in diesem Fall kann jeder, der das Passwort kennt, auf das Netzwerk zugreifen, was die Sicherheit schwächt. Zudem ist nicht genau nachvollziehbar, wer wann auf das Netzwerk zugegriffen hat.

Ein Unternehmenswi-Fi-System, das RADIUS verwendet, funktioniert hingegen anders. Mitarbeiter verbinden sich mit dem Wi-Fi-Netzwerk mithilfe ihrer eindeutigen Firmen-ID und ihres Passworts. Der RADIUS-Server prüft diese Informationen und gewährt nur authentifizierten Benutzern den Zugriff auf das Netzwerk. So lässt sich nachvollziehen, wer wann auf das Netzwerk zugegriffen hat, und die Sicherheit wird erhöht.

Besonders große Unternehmen nutzen solche Systeme häufig, da Hunderte oder Tausende Mitarbeiter mit ihren eigenen Konten sicher auf das Netzwerk zugreifen können.

Natürlich wird RADIUS nicht nur für Unternehmens-Wi-Fi verwendet, sondern auch an anderen Stellen:

1. Internetdienstanbieter (ISP): Authentifizierung beim Internetzugang von Kunden
2. VPN: Ermöglicht Remote-Benutzern den sicheren Zugriff auf das Firmennetzwerk
3. Öffentliche Wi-Fi-Hotspots: Benutzerauthentifizierung und Zugriffsverwaltung
4. Mobilfunknetze: Authentifizierung von Smartphones beim Verbinden mit dem Mobilfunknetz

RADIUS bietet eine zentrale Authentifizierungsmethode, mit der Administratoren den Zugriff einer großen Anzahl von Benutzern effizient verwalten können. Doch bei diesem so wichtigen Bestandteil wurde nun eine schwerwiegende Schwachstelle entdeckt.

Hintergrund der Schwachstelle

Das RADIUS-Protokoll wurde 1991 entworfen. Die Netzwerkumgebung und die Sicherheitskonzepte von damals unterschieden sich stark von denen der Gegenwart. Daher basiert RADIUS auf UDP. UDP ist zwar schnell, aber im Vergleich zu modernen Sicherheitsprotokollen wie TLS weniger sicher.

Inhalt der Schwachstelle

BlastRADIUS (CVE-2024-3596) nutzt einen MD5-Kollisionsangriff. MD5 ist ebenfalls eine Hash-Funktion aus den frühen 90er Jahren. Im Laufe der Zeit wurden jedoch Schwachstellen in MD5 aufgedeckt. Angreifer können diese ausnutzen, um die Antwort des RADIUS-Servers zu manipulieren. Letztendlich können sie so die Authentifizierung umgehen und ihre Berechtigungen erweitern.

Hier ist die schwerwiegende Anfälligkeit von MD5 besonders hervorzuheben. In der heutigen Sicherheitsbranche gelten Systeme, die MD5 verwenden, als extrem unsicher. MD5 ist einfach zu knacken. Überraschenderweise ist es heute möglich, einen MD5-Hash in weniger als einer Minute zu brechen. Das bedeutet, dass Systeme, die MD5 verwenden, in Echtzeit gehackt werden können.

Aus diesem Grund haben sich moderne Passwort-Systeme von MD5 zu SHA-1, SHA-2 und SHA-3 entwickelt. Heutzutage ist es kaum noch möglich, MD5 in wichtigen Systemen zu finden. Dass RADIUS jedoch weiterhin MD5 verwendet, ist sehr besorgniserregend.

Betroffener Bereich

RADIUS ist ein zentraler Bestandteil der modernen Kommunikation und Unternehmensnetzwerke. Wie bereits erwähnt, wird es nicht nur in Unternehmens-Wi-Fi-Systemen, sondern auch bei ISPs, in öffentlichen Wi-Fi-Netzen, Mobilfunknetzen und IoT-Geräten eingesetzt. Die Auswirkungen dieser Schwachstelle können daher sehr weitreichend sein.

Abhilfemaßnahmen

Die Forscher empfehlen die vollständige Abschaffung von RADIUS/UDP. Stattdessen schlagen sie die Umstellung auf RADIUS over TLS (RADSEC) vor. Darüber hinaus wird die Einführung eines Multihop-Verfahrens und die Trennung des RADIUS-Datenverkehrs vom öffentlichen Internet empfohlen.

BlastRADIUS ist ein typisches Beispiel für einen 'Designfehler', der im Laufe der Zeit zu einer Sicherheitslücke geworden ist. Besonders problematisch ist die fortgesetzte Verwendung veralteter Verschlüsselungstechnologien wie MD5. Dies zeigt, dass Sicherheitsprotokolle im Zuge des technologischen Fortschritts ständig aktualisiert werden müssen. Bisher wurden keine Fälle bekannt, in denen diese Sicherheitslücke für tatsächliche Angriffe genutzt wurde. Angesichts des potenziellen Risikos sind jedoch schnelle Gegenmaßnahmen erforderlich. Insbesondere Netzwerkgerätehersteller und Administratoren sind gefordert, schnell zu reagieren.

Thema

  • #Netzwerkauthentifizierung
  • #RADIUS
  • #MD5-Kollision
  • #Sicherheitslücke
  • #BlastRADIUS

Kommentare0