Officieel blog
해리슨 블로그

Kritieke fout ontdekt in 30 jaar oude RADIUS-protocol

Aangemaakt: 2024-07-13

Aangemaakt: 2024-07-13 14:34

Kritieke fout in 30 jaar oud RADIUS-protocol ontdekt: BlastRADIUS-kwetsbaarheid

Er is een ernstige kwetsbaarheid ontdekt in het RADIUS-protocol, dat altijd als de kern van netwerkverificatie gold. Deze kwetsbaarheid, die al 30 jaar verborgen was, is 'BlastRADIUS' genoemd. Maar hoe kan het dat deze kwetsbaarheid zo lang onopgemerkt is gebleven?

Wat is RADIUS?

RADIUS staat voor 'Remote Authentication Dial-In User Service'. Het is een protocol dat gebruikers verifieert en autoriseert wanneer ze verbinding maken met een netwerk. Simpel gezegd, wanneer een gebruiker verbinding probeert te maken met een netwerk, fungeert het als een portier die vraagt: "Wie ben je? Mag je naar binnen?".

RADIUS wordt op veel verschillende plekken gebruikt, en we komen het in ons dagelijks leven vaak tegen, bijvoorbeeld in het Wi-Fi-verificatiesysteem van bedrijven. Laten we een voorbeeld bekijken.

Bij een gewoon Wi-Fi-netwerk kan iedereen verbinding maken met alleen een wachtwoord. Dit is echter niet veilig, omdat iedereen die het wachtwoord kent verbinding kan maken. Bovendien is het niet mogelijk om precies te zien wie wanneer verbinding heeft gemaakt.

Een bedrijfswifi-systeem dat RADIUS gebruikt, werkt echter anders. Werknemers verbinden zich met wifi met hun eigen unieke bedrijfs-ID en wachtwoord. De RADIUS-server controleert deze informatie en verleent alleen geverifieerde gebruikers toegang tot het netwerk. Op deze manier is het mogelijk om precies te zien wie wanneer verbinding heeft gemaakt met het netwerk, en wordt de beveiliging verbeterd.

Vooral grote bedrijven gebruiken dit soort systemen vaak, omdat honderden of duizenden werknemers op een veilige manier met hun eigen account verbinding kunnen maken met het netwerk.

Natuurlijk wordt RADIUS niet alleen voor bedrijfswifi gebruikt, maar ook voor andere doeleinden:

1. Internet Service Providers (ISP's): Verificatie bij toegang tot internet door klanten
2. VPN: Gebruikt wanneer externe gebruikers op een veilige manier verbinding maken met het bedrijfsnetwerk
3. Openbare wifi-hotspots: Verificatie van gebruikers en beheer van toegang
4. Mobiele netwerken: Verificatie wanneer smartphones verbinding maken met een mobiel netwerk

RADIUS biedt een gecentraliseerde verificatiemethode, waardoor beheerders de toegang van talloze gebruikers efficiënt kunnen controleren. Maar in dit essentiële protocol is een ernstig probleem ontdekt.

Achtergrond van de kwetsbaarheid

Het RADIUS-protocol is ontworpen in 1991. De netwerkomgeving en beveiligingsconcepten van die tijd verschilden sterk van de huidige. Daarom is RADIUS gebaseerd op UDP. UDP is snel, maar minder veilig dan moderne beveiligingsprotocollen zoals TLS.

Inhoud van de kwetsbaarheid

BlastRADIUS (CVE-2024-3596) maakt gebruik van een MD5-collision-aanval. MD5 is ook een hash-functie die begin jaren 90 is verschenen. Na verloop van tijd zijn echter de zwakke plekken van MD5 blootgelegd. Aanvallers kunnen dit gebruiken om de reactie van de RADIUS-server te manipuleren. Uiteindelijk kunnen ze de verificatie omzeilen en hun bevoegdheden uitbreiden.

Het is belangrijk om te benadrukken dat MD5 een ernstige zwakte heeft. Momenteel beschouwt de beveiligingsindustrie systemen die MD5 gebruiken als zeer onveilig. MD5 is namelijk te gemakkelijk te kraken. Verrassend genoeg is het tegenwoordig mogelijk om binnen een minuut een MD5-hash te kraken. Dit betekent dat systemen die MD5 gebruiken, in realtime gehackt kunnen worden.

Om deze reden zijn moderne wachtwoordsystemen geëvolueerd van MD5 naar SHA-1, SHA-2 en SHA-3. Tegenwoordig is het moeilijk om systemen te vinden die MD5 gebruiken voor beveiliging. Het feit dat RADIUS nog steeds MD5 gebruikt, is dus zeer zorgwekkend.

Impactbereik

RADIUS is een essentieel onderdeel van moderne communicatie en bedrijfsnetwerken. Naast de eerder genoemde bedrijfswifi-systemen wordt het gebruikt in ISP's, openbare wifi, mobiele netwerken, IoT-apparaten en bijna overal. Daarom kan de impact van deze kwetsbaarheid enorm zijn.

Oplossingen

Onderzoekers raden aan om RADIUS/UDP volledig af te schaffen en over te stappen op RADIUS over TLS (RADSEC). Ze adviseren ook om een multihop-methode te implementeren en RADIUS-verkeer te scheiden van het openbare internet.

BlastRADIUS is een typisch voorbeeld van een 'ontwerpfout' die na verloop van tijd een beveiligingsprobleem is geworden. Vooral het feit dat verouderde codering zoals MD5 nog steeds wordt gebruikt, is een groot probleem. Dit laat zien dat beveiligingsprotocollen constant moeten worden bijgewerkt in lijn met de technologische vooruitgang. Tot nu toe zijn er geen gevallen van daadwerkelijke aanvallen met deze kwetsbaarheid gemeld. Maar gezien de potentiële risico's is snel handelen nodig. Vooral netwerkapparatuurfabrikanten en beheerders moeten snel actie ondernemen.

Onderwerp

  • #BlastRADIUS
  • #MD5 collision
  • #Netwerkautorisatie
  • #RADIUS
  • #Beveiligingsprobleem

Reacties0