Temat
- #kolizja MD5
- #uwierzytelnianie sieciowe
- #RADIUS
- #luka w zabezpieczeniach
- #BlastRADIUS
Utworzono: 2024-07-13
Utworzono: 2024-07-13 14:34
W protokole RADIUS, który był kluczowy dla uwierzytelniania w sieci, odkryto poważną lukę w zabezpieczeniach. Ta luka, ukryta przez 30 lat, została nazwana "BlastRADIUS". Ale dlaczego ta luka pozostała tak długo niezauważona?
RADIUS to skrót od "Remote Authentication Dial-In User Service". Jest to protokół służący do uwierzytelniania użytkowników próbujących uzyskać dostęp do sieci i przyznawania im uprawnień. Prościej mówiąc, pełni on rolę bramkarza, który przy próbie połączenia z siecią pyta użytkownika: "Kim jesteś? Czy możesz wejść?".
RADIUS jest wykorzystywany w różnych obszarach, a najczęstszym przykładem, z którym możemy się spotkać w życiu codziennym, jest system uwierzytelniania Wi-Fi w firmach. Rozważmy przykład.
Zwyczajne Wi-Fi umożliwia połączenie jedynie na podstawie hasła. W takim przypadku jednak każdy, kto zna hasło, może uzyskać dostęp, co czyni sieć podatną na zagrożenia bezpieczeństwa. Ponadto nie ma możliwości dokładnego sprawdzenia, kto i kiedy połączył się z siecią.
Z drugiej strony, systemy Wi-Fi firmowe wykorzystujące RADIUS działają inaczej. Pracownicy łączą się z Wi-Fi za pomocą swojego unikalnego identyfikatora firmowego i hasła. Serwer RADIUS weryfikuje te dane i zezwala na dostęp do sieci tylko uwierzytelnionym użytkownikom. W ten sposób można precyzyjnie śledzić, kto i kiedy łączy się z siecią, a także zwiększyć bezpieczeństwo.
Szczególnie duże firmy częściej korzystają z takich systemów, ponieważ umożliwiają one bezpieczne połączenie setek lub tysięcy pracowników z siecią za pomocą ich własnych unikalnych kont.
Oczywiście RADIUS jest wykorzystywany nie tylko w sieciach Wi-Fi firmowych, ale również w innych obszarach:
1. Dostawcy usług internetowych (ISP): uwierzytelnianie użytkowników podczas łączenia się z internetem
2. VPN: używane podczas bezpiecznego łączenia się zdalnych użytkowników z siecią firmową
3. Publiczne hotspoty Wi-Fi: uwierzytelnianie użytkowników i zarządzanie dostępem
4. Sieci komórkowe: uwierzytelnianie smartfonów podczas łączenia się z siecią komórkową
RADIUS zapewnia scentralizowany sposób uwierzytelniania, umożliwiając administratorom efektywne kontrolowanie dostępu wielu użytkowników. Jednak w tym tak ważnym systemie odkryto poważny problem.
Protokół RADIUS został zaprojektowany w 1991 roku. Wówczas środowisko sieciowe i koncepcje bezpieczeństwa znacznie różniły się od obecnych. Dlatego RADIUS został zaprojektowany w oparciu o UDP. UDP jest szybki, ale w porównaniu z nowoczesnymi protokołami bezpieczeństwa, takimi jak TLS, jego bezpieczeństwo jest niższe.
BlastRADIUS (CVE-2024-3596) wykorzystuje atak kolizji MD5. MD5 to również funkcja haszująca, która pojawiła się na początku lat 90. Jednak z czasem ujawniono jej luki w zabezpieczeniach. Atakujący mogą wykorzystać te luki do manipulacji odpowiedziami serwera RADIUS. W rezultacie mogą ominąć uwierzytelnianie i uzyskać wyższe uprawnienia.
W tym kontekście należy zwrócić uwagę na poważną podatność MD5. Obecnie branża bezpieczeństwa uważa systemy wykorzystujące MD5 za bardzo niebezpieczne, ponieważ są one bardzo łatwo łamane. Co zaskakujące, w ostatnim czasie możliwe stało się złamanie hashu MD5 w czasie krótszym niż minuta. Oznacza to, że systemy korzystające z MD5 mogą być atakowane w czasie rzeczywistym.
Z tego powodu nowoczesne systemy haseł ewoluowały od MD5 do SHA-1, SHA-2, SHA-3 itp. Obecnie trudno znaleźć systemy, w których MD5 jest używane w miejscach, gdzie bezpieczeństwo ma kluczowe znaczenie. Fakt, że RADIUS nadal wykorzystuje MD5, jest bardzo niepokojący.
RADIUS jest kluczowym elementem współczesnej komunikacji i sieci firmowych. Oprócz wspomnianych systemów Wi-Fi firmowych, jest on wykorzystywany w ISP, publicznych sieciach Wi-Fi, sieciach komórkowych, urządzeniach IoT i niemal wszędzie. W związku z tym wpływ tej podatności może być bardzo szeroki.
Badacze zalecają całkowite porzucenie RADIUS/UDP. Zamiast tego proponują przejście na RADIUS over TLS (RADSEC). Zalecają również wdrożenie metody wielostopniowej i izolację ruchu RADIUS od publicznego internetu.
BlastRADIUS jest typowym przykładem "błędu projektowego", który z czasem stał się luką w zabezpieczeniach. Szczególnie problematyczne jest ciągłe korzystanie ze starych technik szyfrowania, takich jak MD5. Pokazuje to, że protokoły bezpieczeństwa muszą być stale aktualizowane zgodnie z tempem rozwoju technologii. Do tej pory nie odnotowano żadnych rzeczywistych ataków wykorzystujących tę lukę. Jednak biorąc pod uwagę potencjalne zagrożenie, konieczne jest szybkie podjęcie działań. W szczególności potrzebne są szybkie reakcje producentów urządzeń sieciowych i administratorów.
Komentarze0