Dies ist ein von KI übersetzter Beitrag.
Sprache auswählen
Von durumis AI zusammengefasster Text
- Im RADIUS-Protokoll, das seit 30 Jahren verwendet wird, wurde eine schwerwiegende Sicherheitslücke namens „BlastRADIUS“ entdeckt, die Bedenken hinsichtlich der Sicherheit von Netzwerkautorisierungssystemen aufwirft.
- Diese Schwachstelle ermöglicht die Umgehung der Authentifizierung und die Eskalation von Berechtigungen durch die Nutzung von MD5-Kollisionsangriffen und kann verschiedene Bereiche wie Unternehmens-WLAN-Systeme, ISPs, VPNs, öffentliches WLAN und Mobilfunknetze betreffen, die RADIUS verwenden.
- Forscher empfehlen die Abschaffung von RADIUS/UDP und die Umstellung auf RADSEC (RADIUS over TLS), die Einführung eines Multi-Hop-Verfahrens und die Trennung von RADIUS-Traffic vom öffentlichen Internet. Schnelle Maßnahmen von Netzwerkausrüstungsherstellern und Administratoren sind erforderlich.
Entdeckung einer kritischen Schwachstelle im 30 Jahre alten RADIUS-Protokoll: BlastRADIUS-Schwachstelle
Es wurde eine schwerwiegende Schwachstelle im RADIUS-Protokoll entdeckt, das das Rückgrat der Netzwerkauthentifizierung ist. Diese Schwachstelle, die als 'BlastRADIUS' bezeichnet wird, blieb 30 Jahre lang verborgen. Aber warum wurde diese Schwachstelle so lange nicht entdeckt?
Was ist RADIUS?
RADIUS steht für 'Remote Authentication Dial-In User Service'. Es ist ein Protokoll, das Benutzer authentifiziert und autorisiert, die versuchen, auf ein Netzwerk zuzugreifen. Einfach ausgedrückt, es fungiert als Türsteher, der überprüft, wer Sie sind und ob Sie Zugang erhalten.
RADIUS wird an vielen verschiedenen Stellen verwendet, aber das häufigste Beispiel im Alltag ist das Wi-Fi-Authentifizierungssystem in Unternehmen. Nehmen wir zum Beispiel an:
Ein normales Wi-Fi kann mit einem Passwort verbunden werden. In diesem Fall kann jedoch jeder mit dem Passwort eine Verbindung herstellen, was ein Sicherheitsrisiko darstellt. Außerdem ist es nicht möglich, genau zu verfolgen, wer wann eine Verbindung hergestellt hat.
Ein Unternehmen-Wi-Fi-System, das RADIUS verwendet, funktioniert jedoch anders. Mitarbeiter verbinden sich mit ihrem eindeutigen Firmen-ID und -Passwort mit dem Wi-Fi. Der RADIUS-Server überprüft diese Informationen und erlaubt nur autorisierten Benutzern, eine Verbindung zum Netzwerk herzustellen. Auf diese Weise kann man genau verfolgen, wer wann eine Verbindung zum Netzwerk hergestellt hat, und die Sicherheit wird verbessert.
Besonders große Unternehmen nutzen dieses System häufig, da es Hunderten oder Tausenden von Mitarbeitern ermöglicht, sich mit ihren eigenen eindeutigen Konten sicher mit dem Netzwerk zu verbinden.
Natürlich wird RADIUS nicht nur für Unternehmens-Wi-Fi verwendet, sondern auch an vielen anderen Stellen:
1. Internet Service Provider (ISP): Authentifizierung, wenn Kunden auf das Internet zugreifen
2. VPN: Wird verwendet, wenn Remote-Benutzer sicher auf das Unternehmensnetzwerk zugreifen
3. Öffentliche Wi-Fi-Hotspots: Benutzerauthentifizierung und -verwaltung
4. Mobile Netzwerke: Authentifizierung, wenn Smartphones eine Verbindung zu einem Mobilfunknetz herstellen
RADIUS bietet eine zentrale Authentifizierungsmethode, die es Administratoren ermöglicht, den Zugriff von zahlreichen Benutzern effizient zu steuern. Aber jetzt wurde ein schwerwiegendes Problem in diesem wichtigen System entdeckt.
Hintergrund der Schwachstelle
Das RADIUS-Protokoll wurde 1991 entwickelt. Die Netzwerkumgebung und Sicherheitskonzepte von damals waren völlig anders als heute. Daher wurde RADIUS auf UDP basiert. UDP ist zwar schnell, aber im Vergleich zu modernen Sicherheitsprotokollen wie TLS weniger sicher.
Inhalt der Schwachstelle
BlastRADIUS (CVE-2024-3596) nutzt einen MD5-Kollisionsangriff. MD5 ist auch eine Hash-Funktion, die Anfang der 1990er Jahre aufkam. Im Laufe der Zeit wurden jedoch Schwachstellen in MD5 aufgedeckt. Angreifer können diese Schwachstelle nutzen, um die Antworten des RADIUS-Servers zu manipulieren. Dadurch können sie die Authentifizierung umgehen und sich erhöhte Rechte verschaffen.
Besonders hervorzuheben ist die schwerwiegende Schwachstelle von MD5. Die Sicherheitsbranche betrachtet Systeme, die MD5 verwenden, derzeit als sehr unsicher. MD5 ist einfach zu knacken. Erstaunlicherweise ist es heute möglich, MD5-Hashes in weniger als einer Minute zu knacken. Dies bedeutet, dass Systeme, die MD5 verwenden, in Echtzeit gehackt werden können.
Aus diesem Grund haben moderne Passwortsysteme MD5 durch SHA-1, SHA-2, SHA-3 usw. ersetzt. Es ist heute kaum noch möglich, Systeme zu finden, die MD5 verwenden, da Sicherheit hier eine wichtige Rolle spielt. Die Tatsache, dass RADIUS immer noch MD5 verwendet, ist jedoch sehr besorgniserregend.
Auswirkungen
RADIUS ist ein Schlüsselelement der modernen Kommunikation und Unternehmensnetzwerke. Neben den oben genannten Unternehmens-Wi-Fi-Systemen wird es auch in ISPs, öffentlichen Wi-Fis, Mobilfunknetzen, IoT-Geräten usw. verwendet. Daher können die Auswirkungen dieser Schwachstelle sehr weitreichend sein.
Abhilfemaßnahmen
Forscher empfehlen die vollständige Abschaffung von RADIUS/UDP. Stattdessen wird die Umstellung auf RADIUS over TLS (RADSEC) vorgeschlagen. Außerdem wird die Einführung eines Multihop-Modus und die Trennung von RADIUS-Verkehr vom öffentlichen Internet empfohlen.
BlastRADIUS ist ein klassisches Beispiel für einen 'Entwurfsfehler', der im Laufe der Zeit zu einem Sicherheitsrisiko geworden ist. Insbesondere die fortgesetzte Verwendung veralteter Verschlüsselungstechnologien wie MD5 ist ein großes Problem. Dies zeigt, dass Sicherheitsprotokolle im Zuge des technologischen Fortschritts kontinuierlich aktualisiert werden müssen. Es wurden bisher keine Fälle von tatsächlichen Angriffen unter Verwendung dieser Schwachstelle gemeldet. Angesichts des potenziellen Risikos sind jedoch schnelle Maßnahmen erforderlich. Insbesondere werden von den Herstellern von Netzwerkgeräten und Administratoren schnelle Maßnahmen erwartet.