Dit is een door AI vertaalde post.
Selecteer taal
Samengevat door durumis AI
- Een ernstig beveiligingslek genaamd 'BlastRADIUS' is ontdekt in het RADIUS-protocol dat al 30 jaar wordt gebruikt, waardoor zorgen worden geuit over de beveiliging van netwerkautenticatiesystemen.
- Deze kwetsbaarheid kan worden gebruikt om authenticatie te omzeilen en privileges te verhogen met behulp van een MD5-collision-aanval, en kan van invloed zijn op verschillende gebieden waar RADIUS wordt gebruikt, zoals zakelijke Wi-Fi-systemen, ISP, VPN, openbare Wi-Fi en mobiele netwerken.
- Onderzoekers raden aan om RADIUS/UDP af te schaffen en over te stappen op RADSEC (RADIUS over TLS), multihop-methoden te implementeren en RADIUS-verkeer te scheiden van het openbare internet. Snelle actie van netwerkapparatuurfabrikanten en beheerders is vereist.
Een kritieke kwetsbaarheid in het 30 jaar oude RADIUS-protocol ontdekt: BlastRADIUS-kwetsbaarheid
Een ernstige kwetsbaarheid is ontdekt in het RADIUS-protocol, dat de kern vormde van netwerkverificatie. Deze kwetsbaarheid, die al 30 jaar verborgen was, is 'BlastRADIUS' genoemd. Maar waarom is deze kwetsbaarheid zo lang onopgemerkt gebleven?
Wat is RADIUS?
RADIUS staat voor 'Remote Authentication Dial-In User Service'. Dit is een protocol dat gebruikers die toegang willen tot een netwerk verifieert en autoriseert. Simpel gezegd, wanneer een gebruiker probeert in te loggen op een netwerk, dient het als poortwachter die vraagt: "Wie ben je? Mag je naar binnen?"
RADIUS wordt op verschillende plaatsen gebruikt. De meest gebruikelijke toepassing in ons dagelijks leven is het Wi-Fi-authenticatiesysteem van bedrijven. Laten we eens kijken naar een voorbeeld.
Gewoonlijk kunnen we met alleen een wachtwoord toegang krijgen tot een Wi-Fi-netwerk. Maar in dat geval kan iedereen met het wachtwoord toegang krijgen, wat het systeem kwetsbaar maakt voor beveiligingsrisico's. Bovendien is het onmogelijk om te weten wie wanneer toegang heeft gekregen tot het netwerk.
Aan de andere kant is het anders met een bedrijfs-Wi-Fi-systeem dat RADIUS gebruikt. Werknemers loggen in op het Wi-Fi-netwerk met hun eigen bedrijfs-ID en wachtwoord. De RADIUS-server controleert deze informatie en verleent alleen geverifieerde gebruikers toegang tot het netwerk. Op deze manier kunnen we precies weten wie wanneer toegang heeft gekregen tot het netwerk, waardoor de beveiliging wordt verbeterd.
Vooral grotere bedrijven gebruiken dit soort systemen veel, omdat honderden of duizenden werknemers veilig toegang kunnen krijgen tot het netwerk met hun eigen account.
Natuurlijk wordt RADIUS niet alleen gebruikt voor bedrijfs-Wi-Fi, maar ook op verschillende andere gebieden:
1. Internet Service Provider (ISP): verificatie wanneer klanten toegang krijgen tot internet
2. VPN: gebruikt wanneer externe gebruikers veilig toegang krijgen tot het bedrijfsnetwerk
3. Openbare Wi-Fi-hotspots: verificatie van gebruikers en beheer van toegang
4. Mobiel netwerk: verificatie wanneer smartphones verbinding maken met het mobiele netwerk
RADIUS biedt een gecentraliseerde authenticatiemethode, waardoor beheerders de toegang van veel gebruikers efficiënt kunnen regelen. Maar er is een ernstig probleem ontdekt in dit belangrijke systeem.
Achtergrond van de kwetsbaarheid
Het RADIUS-protocol is in 1991 ontworpen. De netwerkomgeving en beveiligingsconcepten van die tijd waren totaal anders dan nu. Daarom is RADIUS gebaseerd op UDP. UDP is snel, maar minder veilig dan moderne beveiligingsprotocollen zoals TLS.
Inhoud van de kwetsbaarheid
BlastRADIUS (CVE-2024-3596) maakt gebruik van een MD5-collision-aanval. MD5 is ook een hash-functie die in de vroege jaren 90 is ontstaan. In de loop der tijd zijn echter kwetsbaarheden in MD5 aan het licht gekomen. Aanvallers kunnen deze kwetsbaarheden gebruiken om de respons van de RADIUS-server te manipuleren. Dit resulteert in het omzeilen van verificatie en het verhogen van privileges.
Een belangrijk punt om op te merken is de ernstige kwetsbaarheid van MD5. De huidige beveiligingsindustrie beschouwt systemen die MD5 gebruiken als extreem kwetsbaar voor beveiligingsproblemen. MD5 is namelijk veel te gemakkelijk te doorbreken. Verbazingwekkend genoeg is het tegenwoordig mogelijk om in minder dan een minuut een MD5-hash te kraken. Dit betekent dat systemen die MD5 gebruiken in real time kunnen worden gehackt.
Om deze reden zijn moderne wachtwoordsystemen geëvolueerd van MD5 naar SHA-1, SHA-2 en SHA-3. Tegenwoordig is het bijna onmogelijk om systemen te vinden die MD5 gebruiken voor beveiliging. Het is dus zeer zorgwekkend dat RADIUS nog steeds MD5 gebruikt.
Impactgebied
RADIUS is een kernonderdeel van moderne communicatie en bedrijfsnetwerken. Het wordt gebruikt in bijna alle gebieden, waaronder de eerder genoemde bedrijfs-Wi-Fi-systemen, maar ook ISP's, openbare Wi-Fi, mobiele netwerken en IoT-apparaten. Daarom kan de impact van deze kwetsbaarheid zeer groot zijn.
Oplossingen
Onderzoekers raden aan om RADIUS/UDP volledig af te schaffen. Ze suggereren om over te stappen naar RADIUS over TLS (RADSEC). Ze raden ook aan om een multihop-methode te implementeren en RADIUS-verkeer te scheiden van het openbare internet.
BlastRADIUS is een typisch voorbeeld van een 'ontwerpfout' die in de loop der tijd een beveiligingslek is geworden. Het gebruik van verouderde versleutelingstechnologie zoals MD5 is een groot probleem. Dit laat zien dat beveiligingsprotocollen voortdurend moeten worden bijgewerkt in overeenstemming met de snelheid van technologische vooruitgang. Er zijn tot nu toe geen meldingen van echte aanvallen die misbruik maken van deze kwetsbaarheid. Maar gezien de potentiële risico's is snel handelen noodzakelijk. In het bijzonder is snelle actie van fabrikanten van netwerkapparatuur en beheerders vereist.