Это сообщение переведено AI.
Выбрать язык
Текст, резюмированный ИИ durumis
- В протоколе RADIUS, используемом в течение 30 лет, обнаружена серьезная уязвимость, получившая название «BlastRADIUS», которая вызывает опасения по поводу безопасности систем сетевой аутентификации.
- Эта уязвимость позволяет обойти аутентификацию и повысить привилегии с помощью атаки на коллизию MD5, и может повлиять на различные области, где используется RADIUS, включая корпоративные системы Wi-Fi, интернет-провайдеров, VPN, общедоступные сети Wi-Fi и мобильные сети.
- Исследователи рекомендуют отказаться от RADIUS/UDP, перейти на RADSEC (RADIUS over TLS), внедрить многоуровневый подход и изолировать трафик RADIUS от общедоступного интернета, а также требуют от производителей сетевого оборудования и администраторов оперативного реагирования.
Обнаружен критический недостаток в 30-летнем протоколе RADIUS: уязвимость BlastRADIUS
В протоколе RADIUS, являющемся ключевым элементом сетевой аутентификации, обнаружена серьезная уязвимость. Эта уязвимость, названная 'BlastRADIUS', скрывалась 30 лет. Но почему же ее так долго не могли обнаружить?
Что такое RADIUS?
RADIUS — это сокращение от 'Remote Authentication Dial-In User Service'. Это протокол, который аутентифицирует пользователей, пытающихся подключиться к сети, и предоставляет им права доступа. Проще говоря, RADIUS — это своего рода "привратник", который спрашивает: "Кто ты? Можешь войти?"
RADIUS используется в различных местах, а наиболее распространенный пример его использования в повседневной жизни — это системы аутентификации Wi-Fi в компаниях. Например:
Обычный Wi-Fi можно подключить просто введя пароль. Но в этом случае к нему может подключиться любой, кто знает пароль, что делает систему уязвимой для атак. Кроме того, невозможно точно определить, кто и когда заходил в сеть.
С другой стороны, корпоративные Wi-Fi системы, использующие RADIUS, работают иначе. Сотрудники подключаются к Wi-Fi, используя свой уникальный логин и пароль. Сервер RADIUS проверяет эту информацию и разрешает доступ к сети только авторизованным пользователям. Благодаря этому можно точно определить, кто и когда подключался к сети, что повышает уровень безопасности.
Особо крупные компании часто используют такие системы. Это позволяет сотням, а иногда и тысячам сотрудников безопасно подключаться к сети с помощью своих уникальных учетных записей.
Конечно, RADIUS используется не только в корпоративных Wi-Fi сетях, но и в других местах:
1. Интернет-провайдеры (ISP): аутентификация при подключении клиентов к интернету
2. VPN: используется для безопасного подключения удаленных пользователей к корпоративной сети
3. Общественные Wi-Fi-точки доступа: аутентификация пользователей и управление доступом
4. Мобильные сети: аутентификация смартфонов при подключении к сотовой сети
RADIUS обеспечивает централизованный метод аутентификации, позволяя администраторам эффективно контролировать доступ к сети для большого количества пользователей. Но в столь важном протоколе обнаружилась серьезная проблема.
История уязвимости
Протокол RADIUS был разработан в 1991 году. В то время сетевая среда и концепция безопасности значительно отличались от сегодняшних. Поэтому RADIUS был разработан на основе UDP. UDP — это быстрый протокол, но по сравнению с современными протоколами безопасности, такими как TLS, он менее защищен.
Описание уязвимости
BlastRADIUS (CVE-2024-3596) использует атаку на основе коллизии MD5. MD5 — это хэш-функция, которая также появилась в начале 90-х годов. С течением времени были выявлены уязвимости MD5. Злоумышленники могут использовать эту уязвимость для подделки ответов сервера RADIUS. В результате этого они могут обойти аутентификацию и повысить свои привилегии.
Важно отметить серьезную уязвимость MD5. В настоящее время в сфере безопасности системы, использующие MD5, считаются крайне небезопасными. Это связано с тем, что MD5 очень легко взломать. Удивительно, но в последнее время стало возможно взломать хэш MD5 менее чем за минуту. Это означает, что системы, использующие MD5, могут быть взломаны в режиме реального времени.
По этой причине современные системы паролей эволюционировали от MD5 к SHA-1, SHA-2 и SHA-3. В настоящее время практически невозможно найти системы, где MD5 используется в целях безопасности. Но то, что RADIUS до сих пор использует MD5, вызывает серьезную обеспокоенность.
Масштаб проблемы
RADIUS — это ключевой элемент современных коммуникаций и корпоративных сетей. Он используется практически везде, от упомянутых выше корпоративных Wi-Fi систем до ISP, общественных Wi-Fi, мобильных сетей и IoT-устройств. Поэтому последствия этой уязвимости могут быть очень масштабными.
Меры реагирования
Исследователи рекомендуют полностью отказаться от RADIUS/UDP. Вместо него предлагается перейти на RADIUS over TLS (RADSEC). Также рекомендуется внедрить многоступенчатый подход и изолировать RADIUS-трафик от общедоступной сети.
BlastRADIUS — это типичный пример 'ошибки проектирования', которая со временем превратилась в уязвимость безопасности. Особую проблему представляет то, что в нем по-прежнему используется устаревшие криптографические методы, такие как MD5. Это демонстрирует, что протоколы безопасности необходимо постоянно обновлять в соответствии с темпами технического прогресса. На данный момент не было сообщений об использовании этой уязвимости в реальных атаках. Однако, учитывая потенциальную опасность, необходимо быстро реагировать. Особое внимание необходимо уделить оперативному реагированию со стороны производителей сетевого оборудования и администраторов.