30 साल पुराने RADIUS प्रोटोकॉल में घातक दोष का पता चला

30 साल पुराने RADIUS प्रोटोकॉल में घातक दोष की खोज: BlastRADIUS भेद्यता

नेटवर्क प्रमाणीकरण का मूल RADIUS प्रोटोकॉल में एक गंभीर भेद्यता पाई गई है। 30 सालों तक छिपी रहने वाली इस भेद्यता को 'BlastRADIUS' नाम दिया गया है। लेकिन यह भेद्यता इतने लंबे समय तक क्यों नहीं पाई गई?

RADIUS क्या है?

RADIUS 'Remote Authentication Dial-In User Service' का संक्षिप्त रूप है। यह एक प्रोटोकॉल है जो नेटवर्क तक पहुँचने वाले उपयोगकर्ता को प्रमाणित करता है और उसे अधिकार देता है। आसान शब्दों में कहें तो, जब कोई उपयोगकर्ता नेटवर्क से जुड़ता है, तो यह 'तुम कौन हो? क्या तुम प्रवेश कर सकते हो?' जैसा काम करता है।

RADIUS का उपयोग विभिन्न स्थानों पर किया जाता है, और हम इसे अपने दैनिक जीवन में सबसे अधिक कंपनी के वाई-फाई प्रमाणीकरण प्रणाली में देख सकते हैं। आइए एक उदाहरण लेते हैं।

सामान्य वाई-फाई केवल पासवर्ड के साथ एक्सेस किया जा सकता है। हालाँकि, इस मामले में, कोई भी जो पासवर्ड जानता है, वह एक्सेस कर सकता है, इसलिए सुरक्षा कमजोर है। इसके अलावा, यह पता लगाना मुश्किल है कि कौन कब एक्सेस कर रहा है।

दूसरी ओर, RADIUS का उपयोग करने वाली कंपनी वाई-फाई प्रणाली अलग है। कर्मचारी वाई-फाई से जुड़ने के लिए अपनी विशिष्ट कंपनी आईडी और पासवर्ड का उपयोग करते हैं। RADIUS सर्वर इस जानकारी की जाँच करता है और केवल प्रमाणित उपयोगकर्ताओं को नेटवर्क से जुड़ने की अनुमति देता है। इस तरह, आप यह पता लगा सकते हैं कि कौन कब नेटवर्क से जुड़ा है, और सुरक्षा भी मजबूत हो जाती है।

विशेष रूप से बड़ी कंपनियाँ इस तरह की प्रणाली का अधिक उपयोग करती हैं क्योंकि सैकड़ों या हजारों कर्मचारी अपने-अपने अद्वितीय खातों के साथ नेटवर्क से सुरक्षित रूप से जुड़ सकते हैं।

बेशक, RADIUS का उपयोग केवल कॉर्पोरेट वाई-फाई तक ही सीमित नहीं है, इसका उपयोग विभिन्न क्षेत्रों में किया जाता है:

1. इंटरनेट सेवा प्रदाता (ISP): ग्राहकों को इंटरनेट से जोड़ते समय प्रमाणीकरण
2. VPN: दूरस्थ उपयोगकर्ताओं को कंपनी के नेटवर्क से सुरक्षित रूप से जोड़ने के लिए उपयोग किया जाता है
3. सार्वजनिक वाई-फाई हॉटस्पॉट: उपयोगकर्ता प्रमाणीकरण और एक्सेस प्रबंधन
4. मोबाइल नेटवर्क: स्मार्टफोन के सेलुलर नेटवर्क से जुड़ने पर प्रमाणीकरण

RADIUS एक केंद्रीकृत प्रमाणीकरण विधि प्रदान करता है जिससे व्यवस्थापक बड़ी संख्या में उपयोगकर्ताओं की पहुँच को कुशलतापूर्वक नियंत्रित कर सकते हैं। लेकिन इस महत्वपूर्ण भूमिका वाले RADIUS में एक गंभीर समस्या पाई गई है।

भेद्यता की पृष्ठभूमि

RADIUS प्रोटोकॉल 1991 में डिज़ाइन किया गया था। उस समय का नेटवर्क वातावरण और सुरक्षा अवधारणा आज के समय से काफी अलग थी। इसलिए, RADIUS को UDP पर आधारित बनाया गया था। UDP तेज़ है, लेकिन TLS जैसे आधुनिक सुरक्षा प्रोटोकॉल की तुलना में सुरक्षा कमजोर है।

भेद्यता का विवरण

BlastRADIUS(CVE-2024-3596) MD5 टकराव हमले का उपयोग करता है। MD5 भी 90 के दशक की शुरुआत में बनाया गया एक हैश फ़ंक्शन है। लेकिन समय के साथ MD5 की कमजोरियाँ सामने आई हैं। हमलावर इसका उपयोग RADIUS सर्वर की प्रतिक्रिया में हेरफेर करने के लिए कर सकते हैं। नतीजतन, वे प्रमाणीकरण को दरकिनार कर सकते हैं और अपने अधिकारों को बढ़ा सकते हैं।

यहाँ ध्यान देने योग्य बात MD5 की गंभीर कमजोरी है। वर्तमान में, सुरक्षा उद्योग MD5 का उपयोग करने वाले सिस्टम को बहुत कमजोर मानता है। MD5 बहुत आसानी से टूट जाता है। आश्चर्यजनक रूप से, हाल ही में, MD5 हैश को 1 मिनट से भी कम समय में तोड़ना संभव हो गया है। इसका मतलब है कि MD5 का उपयोग करने वाले सिस्टम रीयल-टाइम में हैक किए जा सकते हैं।

इसी कारण से, आधुनिक पासवर्ड सिस्टम MD5 से SHA-1, SHA-2, SHA-3 आदि में विकसित हुए हैं। अब, सुरक्षा महत्वपूर्ण सिस्टम में MD5 का उपयोग करना दुर्लभ है। लेकिन RADIUS अभी भी MD5 का उपयोग कर रहा है, जो चिंता का विषय है।

प्रभावित दायरा

RADIUS आधुनिक संचार और कॉर्पोरेट नेटवर्क का एक महत्वपूर्ण हिस्सा है। पहले बताए गए कॉर्पोरेट वाई-फाई सिस्टम के साथ-साथ ISP, सार्वजनिक वाई-फाई, मोबाइल नेटवर्क, IoT उपकरण आदि लगभग हर जगह इसका उपयोग किया जाता है। इसलिए, इस भेद्यता का प्रभाव बहुत व्यापक हो सकता है।

निवारक उपाय

शोधकर्ता RADIUS/UDP को पूरी तरह से बंद करने की सलाह देते हैं। इसके बजाय, वे RADIUS over TLS (RADSEC) पर स्विच करने का सुझाव देते हैं। इसके अलावा, मल्टीहॉप विधि को अपनाने और RADIUS ट्रैफ़िक को सार्वजनिक इंटरनेट से अलग करने की भी सिफारिश की जाती है।

BlastRADIUS समय के साथ सुरक्षा भेद्यता बन गया है जो 'डिज़ाइन त्रुटि' का एक विशिष्ट उदाहरण है। विशेष रूप से, MD5 जैसी पुरानी एन्क्रिप्शन तकनीकों का उपयोग जारी रखना एक बड़ी समस्या है। यह दर्शाता है कि प्रौद्योगिकी के विकास के साथ सुरक्षा प्रोटोकॉल को भी लगातार अपडेट किया जाना चाहिए। अब तक, इस भेद्यता का उपयोग करके वास्तविक हमले के कोई मामले सामने नहीं आए हैं। हालाँकि, संभावित जोखिम को देखते हुए, त्वरित कार्रवाई की आवश्यकता है। विशेष रूप से नेटवर्क उपकरण निर्माताओं और प्रशासकों को त्वरित कदम उठाने की आवश्यकता है।