Ini adalah postingan yang diterjemahkan oleh AI.
Pilih Bahasa
Teks yang dirangkum oleh AI durumis
- Kerentanan keamanan serius yang disebut 'BlastRADIUS' telah ditemukan dalam protokol RADIUS yang telah digunakan selama 30 tahun, menimbulkan kekhawatiran tentang keamanan sistem autentikasi jaringan.
- Kerentanan ini dapat digunakan untuk memintas autentikasi dan meningkatkan hak akses menggunakan serangan tabrakan MD5, dan dapat memengaruhi berbagai bidang seperti sistem Wi-Fi perusahaan, ISP, VPN, Wi-Fi publik, dan jaringan seluler yang menggunakan RADIUS.
- Para peneliti merekomendasikan penghentian RADIUS/UDP dan transisi ke RADSEC (RADIUS over TLS), penerapan metode multi-hop, dan pemisahan lalu lintas RADIUS dari internet publik. Produsen perangkat jaringan dan administrator perlu bertindak cepat untuk mengatasi kerentanan ini.
Penemuan Kerentanan Fatal dalam Protokol RADIUS 30 Tahun: Kerentanan BlastRADIUS
Kerentanan serius telah ditemukan dalam protokol RADIUS, yang merupakan inti dari autentikasi jaringan. Kerentanan yang telah tersembunyi selama 30 tahun ini diberi nama 'BlastRADIUS'. Mengapa kerentanan ini tidak terdeteksi selama ini?
Apa itu RADIUS?
RADIUS adalah singkatan dari 'Remote Authentication Dial-In User Service'. Ini adalah protokol yang mengotentikasi dan memberikan otorisasi kepada pengguna yang ingin mengakses jaringan. Sederhananya, RADIUS berperan sebagai penjaga pintu yang memeriksa "Siapa kamu? Dapatkah kamu masuk?" saat pengguna mengakses jaringan.
RADIUS digunakan di berbagai tempat, dan contoh yang paling umum dalam kehidupan sehari-hari kita adalah sistem autentikasi Wi-Fi perusahaan. Mari kita ambil contoh.
Wi-Fi biasa dapat diakses hanya dengan kata sandi. Namun, dalam hal ini, siapa pun yang mengetahui kata sandinya dapat mengaksesnya, sehingga rentan terhadap keamanan. Selain itu, tidak mungkin untuk mengetahui secara pasti siapa yang mengakses kapan.
Di sisi lain, sistem Wi-Fi perusahaan yang menggunakan RADIUS berbeda. Karyawan mengakses Wi-Fi dengan ID perusahaan dan kata sandi unik mereka sendiri. Server RADIUS memverifikasi informasi ini, dan hanya mengizinkan pengguna yang telah diautentikasi untuk mengakses jaringan. Dengan cara ini, dapat diketahui secara pasti siapa yang mengakses jaringan kapan, dan keamanan ditingkatkan.
Terutama perusahaan besar lebih sering menggunakan sistem ini. Karena ratusan, bahkan ribuan karyawan dapat mengakses jaringan dengan aman menggunakan akun unik mereka masing-masing.
Tentu saja, RADIUS tidak hanya digunakan untuk Wi-Fi perusahaan, tetapi juga di berbagai tempat:
1. Penyedia layanan internet (ISP): Autentikasi saat pelanggan mengakses internet
2. VPN: Digunakan saat pengguna jarak jauh mengakses jaringan perusahaan dengan aman
3. Hotspot Wi-Fi publik: Autentikasi pengguna dan manajemen akses
4. Jaringan seluler: Autentikasi saat smartphone terhubung ke jaringan seluler
RADIUS menyediakan metode autentikasi terpusat, memungkinkan administrator untuk mengontrol akses banyak pengguna secara efisien. Namun, masalah serius telah ditemukan dalam RADIUS yang memainkan peran penting ini.
Latar Belakang Kerentanan
Protokol RADIUS dirancang pada tahun 1991. Lingkungan jaringan dan konsep keamanan pada saat itu sangat berbeda dengan sekarang. Itu sebabnya RADIUS dirancang berdasarkan UDP. UDP cepat, tetapi kurang aman dibandingkan protokol keamanan modern seperti TLS.
Isi Kerentanan
BlastRADIUS (CVE-2024-3596) memanfaatkan serangan tabrakan MD5. MD5 juga merupakan fungsi hash yang muncul pada awal tahun 90-an. Namun, seiring berjalannya waktu, kelemahan MD5 terungkap. Penyerang dapat menggunakan ini untuk memanipulasi respons server RADIUS. Akibatnya, autentikasi dapat dilewati dan hak istimewa dapat ditingkatkan.
Hal yang perlu diperhatikan di sini adalah kerentanan serius MD5. Saat ini, di industri keamanan, sistem yang menggunakan MD5 dianggap sangat rentan terhadap keamanan. MD5 terlalu mudah ditembus. Yang mengejutkan, baru-baru ini menjadi mungkin untuk memecahkan hash MD5 dalam waktu kurang dari satu menit. Ini berarti bahwa sistem yang menggunakan MD5 dapat diretas secara real-time.
Karena alasan ini, sistem kata sandi modern telah berevolusi dari MD5 ke SHA-1, SHA-2, SHA-3. Sekarang sulit untuk menemukan kasus di mana MD5 digunakan dalam sistem di mana keamanan menjadi prioritas. Namun, fakta bahwa RADIUS masih menggunakan MD5 sangat mengkhawatirkan.
Lingkup Pengaruh
RADIUS adalah elemen penting dari komunikasi modern dan jaringan perusahaan. Selain sistem Wi-Fi perusahaan yang disebutkan di atas, RADIUS digunakan hampir di mana-mana, termasuk ISP, Wi-Fi publik, jaringan seluler, perangkat IoT, dll. Oleh karena itu, pengaruh kerentanan ini dapat sangat luas.
Langkah-langkah Penanggulangan
Para peneliti merekomendasikan penghapusan RADIUS/UDP sepenuhnya. Mereka menyarankan untuk beralih ke RADIUS over TLS (RADSEC). Penerapan metode multi-hop dan pemisahan lalu lintas RADIUS dari internet publik juga direkomendasikan.
BlastRADIUS adalah contoh klasik dari 'kesalahan desain' yang menjadi kerentanan keamanan seiring berjalannya waktu. Terutama, menggunakan teknologi enkripsi lama seperti MD5 adalah masalah besar. Ini menunjukkan bahwa protokol keamanan harus terus diperbarui sesuai dengan kecepatan perkembangan teknologi. Belum ada laporan serangan nyata yang memanfaatkan kerentanan ini sejauh ini. Namun, mengingat potensi risikonya, diperlukan respons cepat. Terutama, diperlukan tindakan cepat dari produsen perangkat jaringan dan administrator.