To jest post przetłumaczony przez AI.
Wybierz język
Tekst podsumowany przez sztuczną inteligencję durumis
- W protokole RADIUS, używanym przez 30 lat, odkryto poważną lukę w zabezpieczeniach, nazwaną „BlastRADIUS”, co budzi obawy o bezpieczeństwo systemów uwierzytelniania sieciowego.
- Ta luka pozwala na obejście uwierzytelniania i podwyższenie uprawnień za pomocą ataku wykorzystującego kolizje funkcji skrótu MD5, wpływając na różne środowiska, takie jak sieci Wi-Fi przedsiębiorstw, ISP, VPN, sieci Wi-Fi publiczne i sieci komórkowe, które korzystają z RADIUS.
- Naukowcy zalecają porzucenie RADIUS/UDP, przejście na RADSEC (RADIUS over TLS), wprowadzenie trybu wieloskokowego, izolację ruchu RADIUS od publicznej sieci internetowej, a także szybkie działania ze strony producentów sprzętu sieciowego i administratorów.
Odkryto krytyczne błędy w 30-letnim protokole RADIUS: Luka BlastRADIUS
W protokole RADIUS, który stanowi podstawę uwierzytelniania w sieciach, odkryto poważną lukę w zabezpieczeniach. Ta luka, ukryta przez 30 lat, została nazwana „BlastRADIUS”. Ale dlaczego ta luka pozostała niezauważona przez tak długi czas?
Czym jest RADIUS?
RADIUS to skrót od „Remote Authentication Dial-In User Service”. Jest to protokół, który uwierzytelnia użytkowników próbujących połączyć się z siecią i przyznaje im uprawnienia. Prościej mówiąc, pełni rolę „strażnika”, który sprawdza „Kim jesteś? Czy możesz wejść?” podczas łączenia się użytkownika z siecią.
RADIUS jest używany w wielu miejscach, a najczęstszym przykładem, z którym stykamy się w życiu codziennym, są systemy uwierzytelniania Wi-Fi w firmach. Przykładowo:
Typowe Wi-Fi można połączyć tylko za pomocą hasła. W takim przypadku każdy, kto zna hasło, może się połączyć, co czyni je podatnym na ataki. Ponadto nie wiadomo dokładnie, kto i kiedy się połączył.
Z drugiej strony, firmowe systemy Wi-Fi wykorzystujące RADIUS działają inaczej. Pracownicy łączą się z Wi-Fi za pomocą swojego unikalnego identyfikatora firmy i hasła. Serwer RADIUS weryfikuje te informacje i zezwala na dostęp do sieci tylko autoryzowanym użytkownikom. Dzięki temu można dokładnie śledzić, kto i kiedy połączył się z siecią, co zwiększa bezpieczeństwo.
Szczególnie duże firmy często korzystają z takich systemów, ponieważ umożliwiają one bezpieczne łączenie się setek lub tysięcy pracowników z siecią przy użyciu ich unikalnych kont.
Oczywiście RADIUS jest używany nie tylko w firmowych sieciach Wi-Fi, ale także w wielu innych miejscach:
1. Dostawcy usług internetowych (ISP): Uwierzytelnianie podczas łączenia się klientów z Internetem
2. VPN: Używane podczas bezpiecznego łączenia się użytkowników zdalnych z siecią firmową
3. Publiczne punkty dostępowe Wi-Fi: Uwierzytelnianie użytkowników i zarządzanie połączeniami
4. Sieci komórkowe: Uwierzytelnianie podczas łączenia smartfonów z siecią komórkową
RADIUS zapewnia centralne uwierzytelnianie, dzięki czemu administratorzy mogą skutecznie kontrolować dostęp wielu użytkowników. Jednak w tak ważnym protokole odkryto poważny problem.
Tło luki w zabezpieczeniach
Protokół RADIUS został zaprojektowany w 1991 roku. W tamtych czasach środowisko sieciowe i pojęcie bezpieczeństwa znacznie różniły się od obecnych. Dlatego też RADIUS został zaprojektowany w oparciu o UDP. UDP jest szybki, ale w porównaniu z nowoczesnymi protokołami bezpieczeństwa, takimi jak TLS, jest mniej bezpieczny.
Treść luki w zabezpieczeniach
BlastRADIUS (CVE-2024-3596) wykorzystuje atak kolizji MD5. MD5 to również funkcja skrótu, która pojawiła się na początku lat 90. Jednak z czasem ujawniono słabe punkty MD5. Atakowi można użyć do manipulowania odpowiedziami serwera RADIUS. W rezultacie można ominąć uwierzytelnianie i podwyższyć uprawnienia.
Warto zwrócić uwagę na poważne słabe punkty MD5. Obecnie branża bezpieczeństwa uważa systemy korzystające z MD5 za bardzo podatne na ataki. MD5 jest zbyt łatwy do złamania. Co zaskakujące, złamanie skrótu MD5 stało się możliwe w mniej niż minutę. Oznacza to, że systemy korzystające z MD5 mogą zostać zhakowane w czasie rzeczywistym.
Z tych powodów nowoczesne systemy haseł przeszły od MD5 do SHA-1, SHA-2 i SHA-3. Obecnie trudno znaleźć systemy, w których bezpieczeństwo ma kluczowe znaczenie, a nadal używany jest MD5. Fakt, że RADIUS nadal używa MD5, jest bardzo niepokojący.
Zakres wpływu
RADIUS jest kluczowym elementem współczesnej komunikacji i sieci firmowych. Jest używany niemal wszędzie, od wspomnianych już systemów Wi-Fi w firmach po dostawców usług internetowych, publiczne sieci Wi-Fi, sieci komórkowe i urządzenia IoT. Dlatego też wpływ tej luki może być bardzo szeroki.
Sposoby zaradcze
Naukowcy zalecają całkowite porzucenie RADIUS/UDP. Zamiast tego proponują przejście na RADIUS over TLS (RADSEC). Zalecane jest również wprowadzenie sposobu wieloskokowego i oddzielenie ruchu RADIUS od publicznego Internetu.
BlastRADIUS jest typowym przykładem „błędu projektowego”, który z czasem stał się luką w zabezpieczeniach. Szczególnie problematyczne jest ciągłe korzystanie ze starych technologii szyfrowania, takich jak MD5. Pokazuje to, że protokoły bezpieczeństwa muszą być stale aktualizowane w miarę rozwoju technologii. Do tej pory nie odnotowano żadnych rzeczywistych ataków wykorzystujących tę lukę. Jednakże, biorąc pod uwagę potencjalne zagrożenie, konieczne jest szybkie reagowanie. Konieczne jest szybkie działanie ze strony producentów urządzeń sieciowych i administratorów.
