Ez egy AI által fordított bejegyzés.
30 éves RADIUS protokollban találtak kritikus hibát
- Írás nyelve: Koreai
- •
- Referencia ország: Minden ország
- •
- Informatika
Válasszon nyelvet
A durumis AI által összefoglalt szöveg
- A 30 éve használt RADIUS protokollban egy súlyos biztonsági sebezhetőséget, a 'BlastRADIUS'-t fedezték fel, ami növeli az aggodalmakat a hálózati hitelesítési rendszerek biztonságával kapcsolatban.
- Ez a sebezhetőség az MD5 ütközési támadások kihasználásával megkerüli az hitelesítést és lehetővé teszi a jogosultságok emelését, és hatással lehet a RADIUS-t használó vállalati Wi-Fi rendszerekre, ISP-kre, VPN-ekre, nyilvános Wi-Fi-re és mobilhálózatokra.
- A kutatók a RADIUS/UDP megszüntetését és a RADSEC-re (RADIUS over TLS) való áttérést, a multi-hop módszer bevezetését, valamint a RADIUS forgalom elkülönítését a nyilvános internettől javasolják, és a hálózati eszközök gyártóinak és adminisztrátorainak gyors intézkedésekre van szükségük.
30 éves RADIUS protokollban kritikus hibát fedeztek fel: BlastRADIUS sebezhetőség
A RADIUS protokollban, amely a hálózati hitelesítés sarokköve, súlyos biztonsági rést fedeztek fel. Ez a 'BlastRADIUS' névre keresztelt sebezhetőség már 30 éve lappangott. De miért nem fedezték fel korábban ezt a biztonsági rést?
Mi az a RADIUS?
A RADIUS a 'Remote Authentication Dial-In User Service' rövidítése. Ez a protokoll a hálózathoz csatlakozni kívánó felhasználók hitelesítésére és jogosultságaik megadására szolgál. Egyszerűen fogalmazva, a RADIUS olyan, mint egy kapus, aki ellenőrzi a hálózathoz való hozzáférés során, hogy "ki vagy te? Bejöhetsz?".
A RADIUS-t számos területen használják, a leggyakoribb példa a vállalati Wi-Fi hitelesítési rendszerekben található. Nézzünk egy példát.
A hagyományos Wi-Fi hálózatokhoz jelszóval lehet csatlakozni. Ebben az esetben azonban bárki hozzáférhet a hálózathoz, aki ismeri a jelszót, ami biztonsági kockázatot jelent. Ezenkívül nem lehet pontosan nyomon követni, hogy ki és mikor csatlakozott a hálózathoz.
A RADIUS-t használó vállalati Wi-Fi rendszerekben azonban ez másképp működik. A munkavállalók egyedi vállalati azonosítóval és jelszóval csatlakoznak a Wi-Fi hálózathoz. A RADIUS szerver ellenőrzi ezeket az adatokat, és csak az engedélyezett felhasználóknak biztosít hozzáférést a hálózathoz. Ez lehetővé teszi, hogy pontosan nyomon kövessük, ki és mikor csatlakozott a hálózathoz, és javítja a biztonságot.
Különösen a nagyvállalatokban használják ezt a rendszert, mivel lehetővé teszi, hogy a több száz vagy akár több ezer munkavállaló biztonságosan csatlakozzon a hálózathoz a saját egyedi fiókjával.
Természetesen a RADIUS-t nem csak a vállalati Wi-Fi-kben használják:
1. Internet szolgáltatók (ISP): a felhasználók internetes hozzáférésének hitelesítésére
2. VPN: a távoli felhasználók vállalati hálózathoz való biztonságos hozzáférésének biztosítására
3. Nyilvános Wi-Fi hotspotok: a felhasználók hitelesítésére és a hozzáférés kezelésére
4. Mobilhálózatok: az okostelefonok mobilhálózathoz való csatlakozásának hitelesítésére
A RADIUS központi hitelesítési módot biztosít, amely lehetővé teszi az adminisztrátorok számára, hogy hatékonyan szabályozzák a rengeteg felhasználó hozzáférését. Sajnos azonban egy súlyos probléma került elő a RADIUS-ban.
A biztonsági rés háttere
A RADIUS protokollt 1991-ben tervezték. Akkoriban a hálózati környezet és a biztonsági fogalmak nagymértékben különböztek a maiaktól. Ezért a RADIUS-t UDP alapú protokollként tervezték. Az UDP gyors, de a TLS-hez hasonló modern biztonsági protokollokhoz képest gyengébb biztonságot nyújt.
A biztonsági rés tartalma
A BlastRADIUS (CVE-2024-3596) a MD5 ütközéses támadást használja. A MD5-öt szintén a 90-es évek elején fejlesztették ki. Az idő múlásával azonban a MD5 biztonsági rései feltárultak. A támadók kihasználhatják ezeket a sebezhetőségeket a RADIUS szerver válaszainak manipulálására. Ennek eredményeként megkerülhetik a hitelesítést és emelhetik a jogosultságaikat.
Fontos kiemelni a MD5 súlyos biztonsági kockázatát. Jelenleg a biztonsági szakemberek a MD5-öt használó rendszereket rendkívül sebezhetőnek tartják. A MD5 könnyen feltörhető. Meglepő módon ma már kevesebb, mint egy perc alatt lehet feltörni egy MD5 hash-t. Ez azt jelenti, hogy a MD5-öt használó rendszerek valós időben feltörhetők.
Ezért a modern jelszórendszerek a MD5-ből a SHA-1, SHA-2 és SHA-3 felé fejlődtek. Manapság szinte lehetetlen olyan biztonságilag kritikus rendszert találni, amely a MD5-öt használja. De az, hogy a RADIUS továbbra is MD5-öt használ, komoly aggodalmat kelt.
A hatókör
A RADIUS a modern kommunikáció és a vállalati hálózatok alapvető eleme. A vállalati Wi-Fi rendszereken kívül az ISP-k, a nyilvános Wi-Fi-k, a mobilhálózatok, az IoT eszközök stb. szinte mindenhol használják. Ezért a biztonsági rés hatása rendkívül széleskörű lehet.
Megoldások
A kutatók a RADIUS/UDP teljes megszüntetését javasolják. Ehelyett a RADIUS over TLS (RADSEC) átállást javasolják. Javasolják továbbá a multihop üzemmód bevezetését és a RADIUS forgalom elkülönítését a nyilvános internettől.
A BlastRADIUS a 'tervezési hiba' klasszikus példája, amely idővel biztonsági réssé válik. Különösen aggályos, hogy a MD5-höz hasonló elavult titkosítási technológiákat továbbra is használnak. Ez azt mutatja, hogy a technológiai fejlődés ütemével párhuzamosan a biztonsági protokollokat is folyamatosan frissíteni kell. Eddig nem jelentettek be tényleges támadást ezzel a biztonsági résszel. A potenciális veszélyeket figyelembe véve azonban gyors intézkedésekre van szükség. Különösen a hálózati berendezésgyártók és az adminisztrátorok gyors cselekvésére van szükség.