Blog Resmi
해리슨 블로그

Kerentanan Fatal Ditemukan pada Protokol RADIUS yang Berusia 30 Tahun

  • Bahasa Penulisan: Bahasa Korea
  • Negara Standar: Semua Negaracountry-flag
  • TI

Dibuat: 2024-07-13

Dibuat: 2024-07-13 14:34

Kerentanan Fatal pada Protokol RADIUS 30 Tahun Ditemukan: Kerentanan BlastRADIUS

Kerentanan serius telah ditemukan pada protokol RADIUS, yang merupakan inti dari autentikasi jaringan. Kerentanan yang telah tersembunyi selama 30 tahun ini diberi nama 'BlastRADIUS'. Tetapi, mengapa kerentanan ini tidak terdeteksi selama waktu yang lama?

Apa Itu RADIUS?

RADIUS adalah singkatan dari 'Remote Authentication Dial-In User Service'. Ini adalah protokol yang mengotentikasi pengguna yang ingin mengakses jaringan dan memberikan otorisasi. Sederhananya, RADIUS berperan seperti penjaga gerbang yang memeriksa 'Siapa kamu? Apakah kamu boleh masuk?' ketika pengguna mengakses jaringan.

RADIUS digunakan di berbagai tempat, dan contoh yang paling umum dalam kehidupan sehari-hari kita adalah sistem autentikasi Wi-Fi perusahaan. Mari kita lihat contohnya.

Wi-Fi umum dapat diakses hanya dengan kata sandi. Namun, dalam kasus ini, siapa pun yang mengetahui kata sandi dapat mengaksesnya, sehingga rentan terhadap ancaman keamanan. Selain itu, tidak mungkin untuk mengetahui dengan tepat siapa yang mengakses dan kapan mereka mengaksesnya.

Di sisi lain, sistem Wi-Fi perusahaan yang menggunakan RADIUS berbeda. Karyawan mengakses Wi-Fi dengan ID perusahaan dan kata sandi unik mereka sendiri. Server RADIUS memverifikasi informasi ini dan hanya mengizinkan pengguna yang telah diautentikasi untuk mengakses jaringan. Dengan cara ini, dimungkinkan untuk mengetahui dengan tepat siapa yang mengakses jaringan dan kapan mereka mengaksesnya, serta meningkatkan keamanan.

Terutama perusahaan besar lebih banyak menggunakan sistem seperti ini karena memungkinkan ratusan atau ribuan karyawan untuk mengakses jaringan dengan aman menggunakan akun unik mereka masing-masing.

Tentu saja, RADIUS tidak hanya digunakan untuk Wi-Fi perusahaan, tetapi juga di berbagai tempat lain:

1. Penyedia layanan internet (ISP): Otentikasi saat pelanggan mengakses internet
2. VPN: Digunakan saat pengguna jarak jauh mengakses jaringan perusahaan dengan aman
3. Hotspot Wi-Fi publik: Otentikasi pengguna dan manajemen akses
4. Jaringan seluler: Otentikasi saat smartphone terhubung ke jaringan seluler

RADIUS menyediakan metode autentikasi terpusat yang memungkinkan administrator untuk mengontrol akses sejumlah besar pengguna secara efisien. Namun, masalah serius telah ditemukan pada RADIUS yang memainkan peran penting ini.

Latar Belakang Kerentanan

Protokol RADIUS dirancang pada tahun 1991. Lingkungan jaringan dan konsep keamanan saat itu sangat berbeda dengan saat ini. Karena itu, RADIUS dirancang berdasarkan UDP. UDP cepat, tetapi kurang aman dibandingkan protokol keamanan modern seperti TLS.

Isi Kerentanan

BlastRADIUS (CVE-2024-3596) memanfaatkan serangan tabrakan MD5. MD5 juga merupakan fungsi hash yang muncul pada awal tahun 90-an. Namun, seiring waktu, kerentanan MD5 terungkap. Penyerang dapat memanfaatkannya untuk memanipulasi respons server RADIUS. Akibatnya, mereka dapat melewati autentikasi dan meningkatkan hak akses mereka.

Hal yang perlu diperhatikan di sini adalah kerentanan MD5 yang serius. Saat ini, industri keamanan menganggap sistem yang menggunakan MD5 sangat rentan terhadap ancaman keamanan. MD5 sangat mudah dibobol. Yang mengejutkan, saat ini dimungkinkan untuk memecahkan hash MD5 dalam waktu kurang dari satu menit. Ini berarti sistem yang menggunakan MD5 dapat diretas secara real-time.

Karena alasan ini, sistem kata sandi modern telah berevolusi dari MD5 ke SHA-1, SHA-2, dan SHA-3. Saat ini, hampir tidak mungkin untuk menemukan sistem yang menggunakan MD5 di mana keamanan sangat penting. Namun, fakta bahwa RADIUS masih menggunakan MD5 adalah hal yang sangat mengkhawatirkan.

Lingkup Dampak

RADIUS adalah elemen inti dari komunikasi modern dan jaringan perusahaan. Tidak hanya sistem Wi-Fi perusahaan yang disebutkan di atas, tetapi juga digunakan di hampir semua tempat, termasuk ISP, Wi-Fi publik, jaringan seluler, dan perangkat IoT. Oleh karena itu, dampak dari kerentanan ini dapat sangat luas.

Solusi

Para peneliti merekomendasikan penghentian RADIUS/UDP sepenuhnya. Mereka menyarankan untuk beralih ke RADIUS over TLS (RADSEC). Mereka juga merekomendasikan penerapan metode multi-hop dan isolasi lalu lintas RADIUS dari internet publik.

BlastRADIUS adalah contoh klasik dari 'kesalahan desain' yang menjadi kerentanan keamanan seiring waktu. Terutama penggunaan teknologi enkripsi lama seperti MD5 adalah masalah besar. Ini menunjukkan bahwa protokol keamanan harus terus diperbarui sejalan dengan kecepatan perkembangan teknologi. Sampai saat ini, belum ada laporan tentang serangan nyata yang memanfaatkan kerentanan ini. Namun, mengingat potensi risikonya, respons cepat diperlukan. Terutama, produsen perangkat jaringan dan administrator perlu mengambil tindakan segera.

Subjek

  • #BlastRADIUS
  • #Tabrakan MD5
  • #RADIUS
  • #Autentikasi Jaringan
  • #Kerentanan Keamanan

Komentar0