Hivatalos blog
해리슨 블로그

30 éves RADIUS protokoll kritikus hibája fedezték fel

  • Írás nyelve: Koreai
  • Országkód: Minden országcountry-flag
  • Informatika

Létrehozva: 2024-07-13

Létrehozva: 2024-07-13 14:34

30 éves RADIUS protokoll kritikus sebezhetőségének felfedezése: BlastRADIUS sebezhetőség

A hálózati hitelesítés kulcsfontosságú elemének számító RADIUS protokollban súlyos sebezhetőséget fedeztek fel. A 30 éve rejtőzködő sebezhetőséget 'BlastRADIUS'-nak nevezték el. De miért nem fedezték fel ezt a sebezhetőséget korábban?

Mi az a RADIUS?

A RADIUS a 'Remote Authentication Dial-In User Service' rövidítése. Ez egy olyan protokoll, amely hitelesíti a hálózathoz csatlakozni kívánó felhasználókat, és hozzáférési jogosultságokat ad nekik. Egyszerűbben fogalmazva, amikor egy felhasználó csatlakozik a hálózathoz, a RADIUS olyan, mint egy kapus, aki azt kérdezi: "Ki vagy? Beengedjelek?".

A RADIUS számos helyen használatos, és a mindennapi életünkben is gyakran találkozhatunk vele, például a vállalati Wi-Fi hitelesítési rendszerekben. Nézzünk egy példát.

A hagyományos Wi-Fi hálózatokhoz csak jelszóval lehet csatlakozni. Ebben az esetben azonban bárki, aki ismeri a jelszót, hozzáférhet a hálózathoz, ami biztonsági kockázatot jelent. Ezenkívül nem lehet pontosan meghatározni, hogy ki és mikor csatlakozott a hálózathoz.

Ezzel szemben a RADIUS-t használó vállalati Wi-Fi rendszerek másképp működnek. A munkavállalók a saját egyedi céges azonosítójukkal és jelszavukkal csatlakoznak a Wi-Fi-hez. A RADIUS szerver ellenőrzi ezeket az adatokat, és csak a hitelesített felhasználóknak engedélyezi a hálózathoz való hozzáférést. Így pontosan nyomon követhető, hogy ki és mikor csatlakozott a hálózathoz, és a biztonság is javul.

Különösen a nagyobb vállalatoknál használják gyakrabban ezt a rendszert, mivel több száz, vagy akár több ezer munkavállaló férhet hozzá a hálózathoz biztonságosan, a saját egyedi fiókjukkal.

Természetesen a RADIUS nem csak a vállalati Wi-Fi hálózatokban használatos, hanem más területeken is:

1. Internet szolgáltatók (ISP): Az ügyfelek internetes kapcsolódásának hitelesítése
2. VPN: Távoli felhasználók biztonságos hozzáférése a vállalati hálózathoz
3. Nyilvános Wi-Fi hotspotok: Felhasználói hitelesítés és hozzáférés-kezelés
4. Mobilhálózatok: Okostelefonok mobilhálózathoz való csatlakozásának hitelesítése

A RADIUS központosított hitelesítési módszert biztosít, amely lehetővé teszi a rendszergazdák számára, hogy hatékonyan kezeljék a rengeteg felhasználó hozzáférését. De sajnos ebben a fontos szerepben lévő RADIUS-ban súlyos problémát fedeztek fel.

A sebezhetőség háttere

A RADIUS protokollt 1991-ben tervezték. Akkoriban a hálózati környezet és a biztonsági fogalmak jelentősen eltértek a maiaktól. Emiatt a RADIUS az UDP protokollra épült. Az UDP gyors, de a TLS-hez hasonló modern biztonsági protokollokhoz képest alacsonyabb a biztonsági szintje.

A sebezhetőség tartalma

A BlastRADIUS (CVE-2024-3596) az MD5 ütközési támadást használja. Az MD5 is a 90-es évek elején jelent meg, mint hash függvény. Az idő múlásával azonban az MD5 sebezhetőségei is napvilágra kerültek. A támadók kihasználhatják ezt a sebezhetőséget a RADIUS szerver válaszainak manipulálására. Ennek eredményeként megkerülhető a hitelesítés, és emelhető a jogosultság.

Fontos megjegyezni az MD5 súlyos sebezhetőségét. A jelenlegi biztonsági szakemberek szerint az MD5-öt használó rendszerek rendkívül sebezhetőek. Az MD5 túl könnyen feltörhető. Meglepő módon manapság már kevesebb, mint egy perc alatt is lehetséges feltörni egy MD5 hash-t. Ez azt jelenti, hogy az MD5-öt használó rendszerek valós időben is feltörhetőek.

Emiatt a modern jelszórendszerek az MD5-ből a SHA-1, SHA-2, SHA-3 stb. irányába fejlődtek. Ma már ritkán lehet találkozni MD5-öt használó rendszerrel, különösen a biztonságkritikus területeken. A RADIUS azonban továbbra is használja az MD5-öt, ami nagyon aggasztó.

Érintett területek

A RADIUS a modern kommunikáció és a vállalati hálózatok alapvető eleme. A már említett vállalati Wi-Fi rendszereken kívül az ISP-k, a nyilvános Wi-Fi hálózatok, a mobilhálózatok, az IoT eszközök stb. is használják. Ezért a sebezhetőség hatása rendkívül széles körű lehet.

Megoldási javaslatok

A kutatók a RADIUS/UDP teljes elhagyását javasolják. Ehelyett a RADIUS over TLS (RADSEC) használatára ösztönöznek. Ezenkívül a többutas módszer bevezetését és a RADIUS forgalom nyilvános internet elválasztását is javasolják.

A BlastRADIUS a 'tervezési hiba' klasszikus példája, amely idővel biztonsági sebezhetőséggé vált. Különösen problémás, hogy olyan elavult titkosítási technológiát, mint az MD5, továbbra is használnak. Ez azt mutatja, hogy a technológiai fejlődés üteméhez igazítva a biztonsági protokollokat is folyamatosan frissíteni kell. Eddig nem jelentettek be konkrét támadást, amely ezt a sebezhetőséget használja ki. Ennek ellenére a potenciális kockázatot figyelembe véve gyors intézkedésekre van szükség. Különösen a hálózati eszközök gyártóinak és rendszergazdáinak kell gyorsan cselekedniük.

Téma

  • #RADIUS
  • #Hálózati hitelesítés
  • #MD5 ütközés
  • #BlastRADIUS
  • #Biztonsági rés

Hozzászólások0